Angriffe auf PraisonAI-Schwachstelle binnen Stunden nach Veröffentlichung

Zusammenfassung

Eine erst kürzlich offengelegte Authentifizierungslücke im KI-Framework PraisonAI wurde laut der Sicherheitsfirma Sysdig bereits weniger als vier Stunden nach ihrer Veröffentlichung ins Visier genommen. PraisonAI ist ein Multi-Agenten-Framework, mit dem Organisationen autonome KI-Agenten für komplexe Aufgaben einsetzen können. Die unter CVE-2026-44338 geführte Schwachstelle entsteht dadurch, dass die PraisonAI-Versionen 2.5.6 bis 4.6.33 mit einem älteren Flask-API-Server ausgeliefert wurden, bei dem die Authentifizierung standardmäßig deaktiviert war. Wird dieser Server genutzt, kann laut einer NIST-Mitteilung jeder, der ihn erreicht, ohne Token auf den Endpunkt /agents zugreifen und über /chat den in der Datei agents.yaml konfigurierten Workflow auslösen. Laut Sysdig tastete bereits drei Stunden und 44 Minuten nach Veröffentlichung der Mitteilung ein Scanner, der sich selbst als „CVE-Detector/1.0" bezeichnete, gezielt den verwundbaren Endpunkt auf über das Internet erreichbaren Instanzen ab. Die beobachtete Aktivität ordnet das Unternehmen einem Scanner zu, nicht einer interaktiven Ausnutzung. Behoben wurde die Schwachstelle in PraisonAI-Version 4.6.34.

Bei deaktivierter Authentifizierung gibt der Endpunkt /agents die konfigurierten Agenten-Metadaten zurück, während /chat jeden JSON-Körper mit einem „message"-Schlüssel annimmt und den in agents.yaml hinterlegten Workflow ausführt – den eigentlichen Nachrichtenwert ignoriert er dabei.

Sysdig beschreibt das beobachtete Vorgehen genauer: Zwei Durchläufe liefen im Abstand von acht Minuten, jeder schob in rund 50 Sekunden etwa 70 Anfragen heraus. Der erste Durchlauf prüfte allgemeine Pfade wie /.env, /admin, /users/sign_in, /eval, /calculate und /Gemfile.lock, der zweite verengte sich auf KI-Agenten-Oberflächen. Angesprochen wurde dabei nur /agents, nicht jedoch /chat – ein Hinweis darauf, dass es um Aufklärung und Bestätigung ging.

„Die Agentenliste aufzählen, bestätigen, dass der Authentifizierungs-Umgehung funktioniert, den Host als angreifbar protokollieren und weiterziehen. Anschließende Werkzeuge sind üblicherweise getrennt", merkt Sysdig an.

Eine Codeausführung aus der Ferne (RCE) ist über die Lücke laut Sysdig nicht ohne Weiteres zu erreichen, da ein nicht authentifizierter Angreifer nur das auslösen kann, wofür agents.yaml konfiguriert ist. In Produktivumgebungen ruft der Workflow typischerweise verschiedene LLM-Anbieter auf – etwa Anthropic, Bedrock oder OpenAI –, gewährt Zugriff auf Werkzeuge wie Code-Interpreter, Shells und Datei-Ein-/Ausgabe oder liefert den Agenten-Dateinamen samt Agentenliste zurück.

„Die Umgehung selbst ist keine beliebige Codeausführung. Aber weil sie die Authentifizierung von einem Workflow-Auslöser entfernt, den ein Betreiber bewusst freigegeben hat, um etwas Nützliches zu tun, liegt die Obergrenze der Auswirkung bei allem, was dieser Workflow tun darf", so Sysdig. Organisationen sollten ihre Installationen so rasch wie möglich aktualisieren.

Vineeta Sangaraju, KI-Forschungsingenieurin bei Black Duck, ordnet den Fall ein: KI-gestützte Werkzeuge ermöglichten es Angreifern, von der Veröffentlichung einer Mitteilung zu einem funktionierenden Exploit in Zeiträumen zu gelangen, die es zuvor schlicht nicht gegeben habe. Entsprechend schrumpfe die Zeitspanne, in der Organisationen patchen, eindämmen oder auch nur aktives Abtasten erkennen könnten. Eine rasche Ausnutzung nach der Offenlegung sei kein Ausnahmefall mehr, der Zero-Days vorbehalten sei, sondern werde zum Normalfall.

„Die Annahmen traditioneller Risikomodelle über die Raffinesse von Angreifern und die Zeit bis zur Ausnutzung gelten nicht mehr", fügte Sangaraju hinzu. Organisationen müssten die Fähigkeit aufbauen, innerhalb von Stunden statt Tagen nach einer schwerwiegenden Mitteilung zu reagieren, die ihre Systeme betreffe.

Angriffe auf PraisonAI-Schwachstelle binnen Stunden nach Veröffentlichung

Ähnliche Artikel

Neueste Artikel