Hacker tấn công lỗ hổng PraisonAI chỉ vài giờ sau khi được công bố

Các nỗ lực khai thác một lỗ hổng nghiêm trọng trong framework PraisonAI đã xuất hiện chỉ chưa đầy 4 giờ sau khi lỗi này được công bố chính thức, theo cảnh báo từ công ty bảo mật Sysdig.

Trợ lý AI Chatbot

PraisonAI là một khung làm việc đa tác nhân (multi-agent framework) cho phép các tổ chức triển khai các tác nhân AI tự chủ để thực hiện các nhiệm vụ phức tạp. Lỗ hổng mới được phát hiện, được theo dõi dưới mã định danh CVE-2026-44338, là một lỗi bỏ qua xác thực (authentication bypass).

Chi tiết lỗ hổng CVE-2026-44338

Lỗi này tồn tại do các phiên bản PraisonAI từ 2.5.6 đến 4.6.33 được vận hành cùng với một máy chủ API Flask cũ (legacy), trong đó tính năng xác thực bị tắt theo mặc định.

"Khi máy chủ này được sử dụng, bất kỳ người gọi nào có thể kết nối với nó đều có thể truy cập /agents và kích hoạt quy trình làm việc agents.yaml đã cấu hình thông qua /chat mà không cần cung cấp token," một bản tư vấn từ NIST cho biết.

Với xác thực bị vô hiệu hóa, đường dẫn /agents sẽ trả về siêu dữ liệu của tác nhân, trong khi /chat chấp nhận bất kỳ nội dung JSON nào có chứa khóa thông điệp và thực thi quy trình agents.yaml, bỏ qua giá trị của thông điệp đó.

Bảo mật

Tốc độ khai thác kỷ lục

Sysdig nhận thấy rằng chỉ trong vòng 3 giờ và 44 phút sau khi bản tư vấn được công khai, một bộ quét tự nhận dạng là "CVE-Detector/1.0" đã bắt đầu dò tìm các điểm cuối dễ bị tấn công trên các phiên bản PraisonAI tiếp xúc với internet.

Công ty bảo mật này đánh giá hoạt động quan sát được là liên quan đến một bộ quét, không phải là sự khai thác tương tác của con người. Quá trình quét diễn ra qua hai đợt, cách nhau 8 phút. Đợt đầu quét các đường dẫn chung thường thấy, trong khi đợt thứ hai tập trung vào các bề mặt liên quan đến tác nhân AI.

Hoạt động này chỉ nhắm vào /agents nhưng không gửi yêu cầu đến /chat, cho thấy mục tiêu là trinh sát và xác nhận tính khả thi của lỗ hổng.

"Liệt kê danh sách tác nhân, xác nhận việc bỏ qua xác thực hoạt động, ghi lại máy chủ là có thể khai thác và chuyển sang mục tiêu khác. Các công cụ theo dõi thường được tách biệt," Sysdig lưu ý.

Tác động và khuyến nghị

Mặc dù việc đạt được thực thi mã từ xa (RCE) thông qua lỗ hổng này không đơn giản, nhưng kẻ tấn công không xác thực có thể kích hoạt bất cứ thứ gì mà agents.yaml được cấu hình để thực hiện. Trong môi trường sản xuất, quy trình này thường gọi đến các nhà cung cấp LLM lớn hoặc cấp quyền truy cập vào các công cụ như trình thông dịch mã, shell và nhập/xuất tệp.

Lỗ hổng này đã được khắc phục trong phiên bản PraisonAI 4.6.34. Các tổ chức được khuyến cáo cập nhật triển khai của mình càng sớm càng tốt.

Vineeta Sangaraju, kỹ sư nghiên cứu AI tại Black Duck, nhận định rằng các công cụ hỗ trợ bởi AI đang cho phép tin tặc chuyển từ việc công bố tư vấn đến khai thác thành công trong các khung thời gian trước đây chưa từng tồn tại.

"Các giả định của các mô hình rủi ro truyền thống về sự tinh vi của tin tặc và thời gian khai thác không còn đúng nữa. Các tổ chức cần xây dựng khả năng phát hiện và phản hồi trong vài giờ, không phải vài ngày," Sangaraju nói thêm.