Das Multi-Agent-Framework PraisonAI, das Organisationen zur Bereitstellung autonomer KI-Agenten für komplexe Aufgaben nutzen, wies in den Versionen 2.5.6 bis 4.6.33 ein erhebliches Authentifizierungsproblem auf. Der Grund: Der mitgelieferte Legacy-Flask-API-Server hatte die Authentifizierung standardmäßig deaktiviert. Dies ermöglichte es jedem Akteur mit Zugriff auf den Server, die Endpunkte /agents und /chat ohne Authentifizierung zu nutzen.
“Mit deaktivierter Authentifizierung gibt /agents die konfigurierten Agent-Metadaten zurück, während /chat jeden JSON-Body mit einem Message-Schlüssel akzeptiert und den agents.yaml-Workflow ausführt”, erklärt die NIST-Warnung. Der tatsächliche Nachrichteninhalt wird dabei ignoriert.
Die Geschwindigkeit der Angriffe ist bemerkenswert. Sysdig dokumentierte, dass ein Scanner mit der Kennung “CVE-Detector/1.0” bereits 3 Stunden und 44 Minuten nach der öffentlichen Veröffentlichung des Advisorys vulnerable Endpunkte testete. Zwei Scan-Durchläufe mit jeweils etwa 70 Anfragen in 50 Sekunden fanden im Abstand von acht Minuten statt. Die erste Welle zielte auf generische Offenlegungspfade wie /.env, /admin und /users/sign_in. Die zweite konzentrierte sich gezielt auf AI-Agent-Oberflächen.
Interessanterweise beschränkte sich die Aktivität auf das /agents-Endpunkt, ohne /chat anzustoßen. Dies deutet auf eine Aufklärungsphase hin: Agentenlisten auflisten, Authentifizierungsumgehung bestätigen, Host als exploitierbar protokollieren und weitergeben. Weitere Exploitation wäre typischerweise ein separater Schritt.
Die technische Komplexität der Remote-Code-Execution ist begrenzt. Ein unauthentifizierter Angreifer kann nur die in agents.yaml konfigurierten Agenten auslösen. In Produktionsumgebungen können diese Workflows jedoch auf große Sprachmodelle (OpenAI, Anthropic, Bedrock) zugreifen, Code-Interpreter oder Shell-Zugriffe gewähren oder sensitive Dateien offenlegen.
Sysdig warnt vor einem fundamentalen Paradigmenwechsel: “KI-gestützte Tools ermöglichen Angreifern, von der Advisory-Veröffentlichung zu funktionsfähigen Exploits in Zeiträumen zu gelangen, die es vorher einfach nicht gab.” Die traditionellen Risk-Management-Modelle verlieren ihre Gültigkeit. Organisationen müssen nun die Fähigkeit entwickeln, innerhalb von Stunden statt Tagen zu erkennen und zu reagieren.
Die Schwachstelle wurde in PraisonAI Version 4.6.34 behoben. Betroffene Organisationen sollten ihre Implementierungen sofort aktualisieren. Das BSI und der BfDI (Bundesbeauftragte für Datenschutz) empfehlen Unternehmen dringend, Sicherheits-Patches als kritische Priorität zu behandeln und robuste Erkennungs- und Reaktionsmechanismen zu implementieren.