Các tác nhân đe dọa đã được ghi nhận đang cố gắng khai thác một lỗ hổng bảo mật mới được công bố trong PraisonAI, một framework điều phối đa tác nhân mã nguồn mở, chỉ trong vòng bốn giờ sau khi công bố công khai.
Lỗ hổng đang được nhắc đến là CVE-2026-44338 (điểm CVSS: 7.3), một trường hợp thiếu xác thực làm lộ các endpoint nhạy cảm cho bất kỳ ai, có tiềm năng cho phép kẻ tấn công thực thi các chức năng được bảo vệ của máy chủ API mà không cần token.
"PraisonAI đi kèm với một máy chủ Flask API cũ có tính năng xác thực bị tắt theo mặc định," theo một bản tin tư vấn được các nhà duy trì phát hành vào đầu tháng này. "Khi máy chủ đó được sử dụng, bất kỳ người gọi nào có thể kết nối tới nó đều có thể truy cập /agents và kích hoạt luồng công việc agents.yaml đã cấu hình thông qua /chat mà không cần cung cấp token."
Chi tiết lỗ hổng và tác động
Cụ thể, máy chủ API dựa trên Flask cũ, src/praisonai/api_server.py, có mã cứng AUTH_ENABLED = False và AUTH_TOKEN = None. Theo PraisonAI, việc khai thác thành công lỗ hổng này có thể gây ra nhiều tác động khác nhau, bao gồm:
- Liệt kê không cần xác thực các file agent được cấu hình thông qua /agents
- Kích hoạt không cần xác thực luồng công việc "agents.yaml" được cấu hình cục bộ thông qua /chat
- Tiêu thụ lặp đi lặp lại hạn ngạch model/API, và
- Làm lộ kết quả của PraisonAI.run() cho người gọi không xác thực
"Tác động do đó phụ thuộc vào những gì agents.yaml của người vận hành được phép làm, nhưng việc bỏ qua xác thực (authentication bypass) là vô điều kiện trong máy chủ cũ được cung cấp," PraisonAI cho biết.
Lỗ hổng ảnh hưởng đến tất cả các phiên bản của gói Python từ 2.5.6 đến 4.6.33. Nó đã được vá trong phiên bản 4.6.34. Nhà nghiên cứu bảo mật Shmulik Cohen đã được ghi nhận là người phát hiện và báo cáo lỗi này.
Diễn biến vụ tấn công thần tốc
Trong một báo cáo được Sysdig công bố tuần này, công ty bảo mật đám mây này cho biết họ đã quan sát thấy các nỗ lực khai thác lỗ hổng chỉ trong vài giờ sau khi nó được công khai.
"Trong vòng ba giờ 44 phút kể từ khi bản tin tư vấn được công khai, một trình quét tự nhận dạng là CVE-Detector/1.0 đã thăm dò chính xác endpoint bị lỗi trên các phiên bản lộ diện trên internet," họ cho biết. "Bản tin tư vấn được công bố [vào ngày 11 tháng 5 năm 2026,] lúc 13:56 UTC. Yêu cầu mục tiêu đầu tiên đã xuất hiện lúc 17:40 UTC cùng ngày."
Hoạt động này, theo Sysdig, bắt nguồn từ địa chỉ IP 146.190.133[.]49 và tuân theo một cấu hình trình quét thực hiện hai lượt cách nhau tám phút, với mỗi lượt đẩy khoảng 70 yêu cầu trong khoảng 50 giây.
Trong khi lượt đầu tiên quét các đường dẫn tiết lộ thông tin chung (/.env, /admin, /users/sign_in, /eval, /calculate, /Gemfile.lock), lượt thứ hai đặc biệt nhắm vào các bề mặt AI-agent, bao gồm cả PraisonAI.
"Đầu dò khớp trực tiếp với CVE-2026-44338 là một yêu cầu GET /agents duy nhất không có tiêu đề Authorization và User-Agent CVE-Detector/1.0," Sysdig cho biết. "Yêu cầu đó trả về 200 OK với nội dung {"agent_file":"agents.yaml","agents":[...]}, xác nhận việc bỏ qua xác thực đã thành công."
Trình quét này không được phát hiện gửi bất kỳ yêu cầu POST nào tới endpoint "/chat" trong cả hai lượt, cho thấy hoạt động này phù hợp với một bước kiểm tra ban đầu để xác định xem việc bỏ qua xác thực có hoạt động hay không và xác nhận xem máy chủ có thể bị khai thác qua CVE-2026-44338 hay không.
Khuyến nghị bảo mật
Việc khai thác nhanh chóng PraisonAI là ví dụ mới nhất về một xu hướng rộng lớn hơn, nơi các tác nhân đe dọa đang ngày càng tích cực đưa các lỗ hổng mới công bố vào kho vũ khí của mình trước khi chúng kịp được vá. Người dùng được khuyên nên áp dụng các bản vá mới nhất càng sớm càng tốt, kiểm tra các triển khai hiện có, xem xét hóa đơn của nhà cung cấp mô hình AI để phát hiện bất kỳ hoạt động đáng ngờ nào và thay đổi (rotate) các thông tin xác thực được tham chiếu trong "agents.yaml".
"Công cụ của đối thủ đã mở rộng quy mô ra toàn bộ hệ sinh thái AI và agent -- bất kể quy mô lớn nhỏ – và giả định hoạt động cho bất kỳ dự án nào cung cấp mặc định không xác thực phải là cửa sổ giữa lúc công bố và khai thác tích cực chỉ được tính bằng giờ," Sysdig nhận định.
