Una plataforma de agentes de IA entra en el catálogo de fallos explotados de CISA
El 7 de julio de 2026, un constructor de agentes de IA de código abierto se convirtió en la primera plataforma de orquestación jamás incluida en el catálogo KEV de CISA — una señal sobre cómo priorizar los parches de la infraestructura de IA.
¿Qué es esto?
El 7 de julio de 2026, la agencia estadounidense de ciberseguridad CISA añadió a su catálogo KEV (Known Exploited Vulnerabilities) un fallo de Langflow — el constructor visual de código abierto para canalizaciones de agentes de IA y flujos de trabajo RAG (generación aumentada por recuperación). Como informó Tech Times el 8 de julio, es la primera vez que una plataforma de orquestación de agentes de IA aparece en el catálogo. La inclusión llegó con un plazo de remediación hasta el 10 de julio para las agencias federales civiles, bajo la directiva operativa vinculante BOD 26-04, que en junio de 2026 sustituyó el plazo uniforme de dos semanas de la antigua BOD 22-01 por plazos basados en el riesgo.
El hito importa más que cualquier fallo concreto. La entrada en el catálogo KEV no es una calificación teórica: exige explotación confirmada en el mundo real. Cuando una categoría de software cruza ese umbral por primera vez, indica a los defensores que la superficie de ataque ha pasado de los artículos de investigación a las campañas activas.
Cómo funciona
El fallo subyacente es una elusión de autorización entre inquilinos (cross-tenant) en Langflow, documentada por la firma de seguridad en la nube Sysdig tras una campaña de robo de credenciales observada del 22 al 25 de junio de 2026. Langflow expone cada flujo como un punto de acceso invocable; el mecanismo de resolución vulnerable localizaba un flujo a partir de un identificador proporcionado por el cliente sin verificar que el solicitante fuera su propietario. Un usuario autenticado podía así ejecutar el flujo de otro inquilino — y heredar las claves de API y credenciales de nube incrustadas en él. Sysdig observó a un único operador, con motivación económica, enumerar identificadores de flujo y luego ejecutar la canalización de la víctima con una instrucción inyectada para hacer aflorar los secretos, antes de pivotar hacia un fallo acompañante de ejecución de código sin autenticación. Ambos problemas están corregidos; este es un análisis de gobernanza y priorización, no un exploit accionable.
El detalle instructivo es un desacuerdo de puntuación. La entrada KEV de CISA puntúa la elusión en CVSS 6,1, mientras que KEVIntel y la base CIRCL puntúan el mismo fallo en 9,9 — una brecha que refleja el peso que cada uno da al cambio de alcance entre inquilinos, según analizó Sysdig. La lección para los operadores: una puntuación CVSS mide la gravedad potencial en el peor de los casos. No mide si existe código de explotación, si el objetivo resulta atractivo para los atacantes ni la facilidad de armamentización. La entrada en KEV y una probabilidad EPSS elevada responden directamente a esta segunda pregunta; el CVSS por sí solo, no.
Por qué importa
Las plataformas de orquestación de IA son, por diseño, cofres de credenciales. Su función misma es conectar modelos con datos de producción, bases de datos, API de terceros y proveedores de nube — lo que concentra un llavero maestro en un único servicio. La primera inclusión en KEV introduce esta categoría en la maquinaria rutinaria de los mandatos federales de parches y la señala como un punto de apoyo probado y activamente atacado. El radio de impacto es real: el caso distinto JADEPUFFER documentado por Sysdig — evaluado como el primer ransomware agéntico totalmente autónomo — entró a través de un fallo de autenticación de Langflow más antiguo y sin parchear desde hacía tiempo, rastreó el host en busca de claves de proveedores y de nube, y luego alcanzó una base de datos de producción. La puerta era la plataforma de agentes; el objetivo era todo lo que ella podía alcanzar.
Defensas
Trate las plataformas de orquestación de IA como cofres de credenciales de alto valor, y priorícelas en consecuencia.
- Aplique el parche. Actualice Langflow a la versión 1.9.2 o posterior, que añade la comprobación de propiedad ausente al mecanismo de resolución de flujos.
- Rote las credenciales tras el parche — incluso sin evidencia de compromiso. La elusión no deja rastro distinguible de una ejecución de flujo normal, salvo un identificador de flujo inesperado en los registros de API. Renueve cada clave de API, credencial de proveedor de LLM y clave de acceso a la nube almacenadas.
- Priorice con KEV y EPSS, no solo con CVSS. La pertenencia a KEV significa que la explotación está confirmada; una puntuación EPSS alta significa que es probable. Use ambas junto al CVSS al planificar las ventanas de parcheo.
- Mantenga los puntos de acceso de ejecución de código y validación fuera de Internet. Restrinja la API de la plataforma a redes de confianza; la mayoría de los compromisos de instancias expuestas empiezan por un punto de acceso alcanzable desde Internet.
- Almacene los secretos fuera de los flujos. Use un gestor de secretos dedicado en lugar de incrustar claves en los entornos de flujo o en las variables de entorno del proceso.
- Cartografíe el radio de impacto, no solo el host. Inventaríe cada base, servicio y credencial que la plataforma pueda alcanzar; asuma que un compromiso del orquestador es un compromiso de ese conjunto accesible.
- Audite los patrones entre inquilinos y automatizados. Revise los registros de
/api/v1/responsesen busca de un usuario que invoque los identificadores de flujo de otro, y añada detección de las secuencias de acceso rápidas y repetitivas típicas de las intrusiones dirigidas por agentes.
Estado
| Elemento | Referencia | Fecha | Notas |
|---|---|---|---|
| Primera plataforma de agentes de IA añadida al KEV de CISA | CVE-2026-55255 (elusión entre inquilinos de Langflow) | 2026-07-07 | Plazo de remediación 2026-07-10 bajo BOD 26-04 |
| Campaña documentada en la práctica | Sysdig Threat Research | 2026-06-22 al 06-25 | Operador único; robo de credenciales entre inquilinos |
| Fallo acompañante explotado en paralelo | CVE-2026-33017 | 2026-06 | RCE sin autenticación contra instancias expuestas |
| Corrección | Langflow 1.9.2 | 2026 | Añade validación de propiedad a la resolución de flujos |
| Divergencia de puntuación | CISA 6,1 vs KEVIntel/CIRCL 9,9 | 2026-07 | Ilustra la brecha entre CVSS y probabilidad de explotación |
El hilo conductor es de gobernanza. Una clase de vulnerabilidad no entra en el catálogo KEV porque sea grave sobre el papel — entra porque se ha observado a alguien usándola contra organizaciones reales. Que la primera plataforma de orquestación de IA cruce esa línea significa que estos sistemas quedan ahora dentro de la misma disciplina de priorización que los servidores web y las pasarelas VPN. Para los defensores que los operan, el cambio práctico es dejar de leer el CVSS como una lista de tareas y ponderar la explotación confirmada — y tratar cada constructor de agentes como un cofre de credenciales cuyo alcance es la verdadera medida del riesgo.
Sources
- → https://www.techtimes.com/articles/319918/20260708/cisa-adds-first-ai-agent-platform-kev-sets-thursday-deadline-4-cves.htm
- → https://www.sysdig.com/blog/understanding-langflow-cve-2026-55255-and-why-higher-cvss-vulnerabilities-arent-always-the-most-exploited
- → https://nvd.nist.gov/vuln/detail/CVE-2026-55255
- → https://github.com/langflow-ai/langflow/security/advisories/GHSA-qrpv-q767-xqq2
- → https://www.cisa.gov/known-exploited-vulnerabilities-catalog