CISA
美國網路安全暨基礎設施安全局(CISA)近日警告,3月中旬揭露的重大漏洞CVE-2026-33017已被實際利用。這意味著,未修補此弱點的開源大型語言模型開發工具Langflow安全風險大增,CISA將其納入已知遭利用漏洞清單(KEV),要求各機構儘速修補。
Langflow是讓開發者以視覺化方式快速建立並串接AI工作流程與應用的工具,其開發團隊在3月17日發布資安公告,揭露編號CVE-2026-33017的遠端程式碼執行(RCE)漏洞,CVSS風險評為9.3分,問題出在特定端點允許任何人在未經身分驗證的狀態下,建立公開的工作流程,可能導致攻擊者遠端執行任意程式碼,以及進一步竊取資料、植入後門或橫向移動。這個漏洞會影響1.8.1以前版本,開發團隊已發布1.9.0版修補。
資安公司Sysdig的研究人員表示, CVE-2026-33017漏洞公告發布20小時後 ,他們就觀察到遭攻擊者利用的跡象,CISA稍後在3月25日將此漏洞列入KEV清單,要求尚未更新修補版本的用戶盡速修補,以降低風險。
值得注意的是,Langflow去年修補的另一漏洞CVE-2025-3248, 也在同年5月被CISA列入KEV清單,顯示這款AI開發工具已逐漸成為攻擊者針對的目標之一。
