Sicherheitsexperten schlagen Alarm: Die Sicherheitslücke CVE-2026-44338 in PraisonAI wird von Bedrohungsakteuren ausgenutzt, bevor Patches weit verbreitet sein können. Das Cloud-Security-Unternehmen Sysdig dokumentierte die ersten Exploitationsversuche bereits 17:40 UTC am 11. Mai 2026 — weniger als vier Stunden nach Veröffentlichung des Sicherheitshinweises um 13:56 UTC.
Die Schwachstelle offenbart ein fundamentales Problem: Der Legacy-Flask-API-Server in PraisonAI (Datei: src/praisonai/api_server.py) setzt AUTH_ENABLED und AUTH_TOKEN standardmäßig auf False bzw. None. Dies ermöglicht es jedem, der Netzwerkzugriff auf den Server hat, die Endpunkte /agents und /chat zu nutzen, um konfigurierte Workflows auszuführen — ohne einen Authentifizierungstoken zu benötigen.
Der Sicherheitsforscher Shmulik Cohen entdeckte die Lücke. Sie betrifft alle Versionen des Python-Pakets von 2.5.6 bis einschließlich 4.6.33. PraisonAI hat einen Patch in Version 4.6.34 bereitgestellt.
Besonders bemerkenswert ist die Art und Geschwindigkeit der Exploitationsversuche. Sysdig beobachtete einen Scanner mit der Bezeichnung “CVE-Detector/1.0”, der von der IP-Adresse 146.190.133.49 stammte. Der Scanner führte zwei Durchläufe mit etwa acht Minuten Abstand durch, jeder mit rund 70 Anfragen in 50 Sekunden. Der erste Durchlauf testete generische Schwachstellen-Pfade wie /.env und /admin. Der zweite Durchlauf zielte spezifisch auf KI-Agent-Oberflächen ab — einschließlich PraisonAI.
Die kritische Probe war eine einfache GET-Anfrage an /agents ohne Authorization-Header. Der Server antwortete mit HTTP 200 OK und gab die agents.yaml-Konfiguration zurück — ein eindeutiges Zeichen für erfolgreiche Authentifizierungsumgehung. Zwar wurden keine POST-Anfragen an /chat dokumentiert, was darauf hindeutet, dass Angreifer zunächst nur die Verwundbarkeit überprüfen; diese Phase dürfte aber nur temporär sein.
Für deutsche Entwickler und Unternehmen bedeutet dies erhebliche Risiken. Jede Instanz von PraisonAI mit aktivierter Legacy-API und Internetverbindung könnte kompromittiert werden. Die Auswirkungen hängen davon ab, welche Operationen die agents.yaml-Konfiguration ermöglicht — möglicherweise Datenzugriff, API-Aufrufe oder weitere Systemaktionen.
Sysdig warnt: “Das Zeitfenster zwischen Disclosure und aktiver Exploitierung wird in einzelstelligen Stunden gemessen.” Dies ist ein Weckruf für die gesamte KI- und Agent-Ökosystem. Betreiber sollten sofort auf Version 4.6.34 upgraden, bestehende Deployments überprüfen, Abrechnungen bei KI-Anbietern auf verdächtige Aktivitäten kontrollieren und Zugangsdaten in agents.yaml austauschen.