系统:运行中
← 返回所有攻击
GOVERNANCE MEDIUM NEW

首个 AI 智能体平台被列入 CISA 已利用漏洞目录

2026 年 7 月 7 日,一款开源 AI 智能体构建工具成为首个被列入 CISA KEV 目录的编排平台——这为如何优先修补 AI 基础设施提供了信号。

2026-07-09 // 5 min affects: langflow, ai-agent-orchestration, llm-infrastructure, rag-pipelines

这是什么?

2026 年 7 月 7 日,美国网络安全与基础设施安全局(CISA)将 Langflow 的一个漏洞加入其 已利用漏洞目录(KEV,Known Exploited Vulnerabilities)。Langflow 是用于构建 AI 智能体流水线和 RAG(检索增强生成)工作流的开源可视化工具。据 Tech Times 于 7 月 8 日报道,这是 AI 智能体编排平台首次出现在该目录中。此次收录附带面向联邦民事机构的 7 月 10 日整改截止日期,依据是 具有约束力的操作指令 BOD 26-04——该指令于 2026 年 6 月取代了旧版 BOD 22-01 统一的两周期限,改为基于风险确定期限。

这一里程碑比任何单个漏洞都更重要。进入 KEV 目录并非理论评级:它要求 已确认的真实世界利用。当某一类软件首次跨过这一门槛,就是在告诉防御方:攻击面已经从研究论文进入了活跃的攻击活动。

工作原理

底层漏洞是 Langflow 中的一个跨租户授权绕过,由云安全公司 Sysdig 在观察到 2026 年 6 月 22 日至 25 日 的一次凭据窃取活动后记录。Langflow 将每个 flow 暴露为一个可调用端点;存在缺陷的解析逻辑会根据客户端提供的标识符查找 flow,却未验证请求者是否为其所有者。因此,一个已认证用户可以执行另一个租户的 flow,并继承其中内嵌的 API 密钥和云凭据。Sysdig 观察到一名出于经济动机的单一攻击者枚举 flow 标识符,随后以注入的指令运行受害者的流水线以套取机密,之后再转向一个配套的未认证代码执行漏洞。这两个问题均已修复;本文是治理与优先级分析,而非可直接使用的利用手法。

值得注意的细节是评分分歧。CISA 的 KEV 条目将该绕过评为 CVSS 6.1,而 KEVIntel 与 CIRCL 数据库将同一漏洞评为 9.9——这一差距反映了各方对跨租户范围变化赋予的权重不同,正如 Sysdig 所分析。给运营者的启示是:CVSS 分数衡量的是最坏情况下的潜在严重性。它并不衡量利用代码是否存在、目标是否对攻击者有吸引力、或武器化的难易程度。KEV 收录和较高的 EPSS 概率直接回答了后一个问题;单靠 CVSS 则不能。

为什么重要

AI 编排平台在设计上就是凭据保险库。它们的功能正是把模型连接到生产数据、数据库、第三方 API 和云服务商——这就把一整串主钥匙集中在单一服务里。首次被列入 KEV,使这一类软件进入联邦补丁强制机制的常规运作,并将其标记为已被证实、正被主动瞄准的立足点。其影响半径是真实的:Sysdig 单独记录的 JADEPUFFER 案例——被评估为首个完全自主的智能体化勒索软件——正是通过一个 更早的、长期未修补的 Langflow 认证绕过漏洞进入,扫描主机以搜集服务商和云凭据,随后触达一个生产数据库。入口是智能体平台;目标是它所能触达的一切。

防御措施

把 AI 编排平台当作高价值的凭据保险库,并据此确定优先级。

  1. 打补丁。 将 Langflow 升级到 1.9.2 或更高版本,该版本为 flow 解析逻辑补上了缺失的所有权检查。
  2. 打补丁后轮换凭据——即便没有被入侵的证据。 除了 API 日志中出现意外的 flow 标识符外,该绕过不会留下可与正常 flow 执行区分的痕迹。请轮换所有存储的 API 密钥、LLM 服务商凭据和云访问密钥。
  3. 用 KEV 和 EPSS 而非仅用 CVSS 来确定优先级。 进入 KEV 意味着利用已被确认;较高的 EPSS 分数意味着利用很可能发生。在安排补丁窗口时应结合两者与 CVSS。
  4. 让代码执行和验证端点远离公网。 将平台 API 限制在受信任网络内;大多数暴露实例的入侵都始于一个可从公网访问的端点。
  5. 将机密存放在 flow 之外。 使用专用的机密管理器,而不要把密钥内嵌进 flow 环境或进程环境变量中。
  6. 绘制影响半径,而不仅是主机。 清点平台可以触达的每一个数据库、服务和凭据;应假定编排器被攻破即等于其可触达集合被攻破。
  7. 审计跨租户与自动化模式。 检查 /api/v1/responses 日志中是否有某用户调用他人 flow 标识符的情况,并对智能体驱动入侵所特有的快速、重复访问序列增加检测。

状态

项目参考日期备注
首个被加入 CISA KEV 的 AI 智能体平台CVE-2026-55255(Langflow 跨租户绕过)2026-07-07依 BOD 26-04,整改截止 2026-07-10
已记录的真实攻击活动Sysdig 威胁研究2026-06-22 至 06-25单一攻击者;跨租户凭据窃取
并行利用的配套漏洞CVE-2026-330172026-06针对暴露实例的未认证 RCE
修复Langflow 1.9.22026为 flow 解析增加所有权校验
评分分歧CISA 6.1 对 KEVIntel/CIRCL 9.92026-07说明 CVSS 与利用可能性之间的差距

贯穿始终的是一个治理问题。一类漏洞进入 KEV 目录,不是因为它在纸面上严重——而是因为有人被观察到正在用它攻击真实的组织。首个 AI 编排平台跨过这条线,意味着这些系统如今与 Web 服务器和 VPN 网关一样,纳入了同一套优先级纪律。对运营它们的防御方而言,实际的转变是:不要再把 CVSS 当作待办清单,而要为已确认的利用赋予权重——并把每一个智能体构建工具视作一个凭据保险库,其可触达范围才是风险的真正尺度。

Sources