Langflow这回栽得真够狠。3月17日官方刚把CVE-2026-33017的修复建议放出来,20小时后Sysdig就抓到野外实锤攻击。速度快到让人头皮发麻。
这个漏洞编号CVE-2026-33017,CVSS直接打到9.3分。核心问题出在POST /api/v1/build_public_tmp/{flow_id}/flow这个接口。公开流本来设计成免认证,结果data参数一传,攻击者就能塞进任意Python代码。服务器直接拿exec()去跑,没任何沙箱。等于白送远程代码执行。
影响范围覆盖所有1.8.1及以下版本。1.9.0.dev8才把这坑堵上。发现者Aviral Srivastava2月26日就报给了官方,他直言这个洞跟之前的CVE-2025-3248同根同源,都是exec()惹的祸。区别只在于端点不同,一个是validate/code,一个是build_public_tmp。
Srivastava讲得很清楚:公开流不能加认证,不然整个功能就废了。正确解法是直接砍掉data参数,只允许服务器自己存的流数据执行。简单粗暴,但管用。
攻击成本低得离谱。一条curl POST请求,JSON里塞恶意Python代码,瞬间拿下服务器权限。读环境变量、改文件、种后门、开reverse shell,全都能干。Sysdig观察到攻击者没等公开PoC,自己根据公告写出exploit,然后全球扫荡暴露实例。
第一波攻击重点捞钥匙和凭证。拿到数据库访问权后,顺手搞软件供应链污染。后续行为更狠,用自定义Python脚本读/etc/passwd,再从173.212.205.251:8443拉第二阶段payload。同一IP还在疯狂收割.env文件、配置、数据库内容。明显是有备而来,一发现目标就直接上全套工具链。
这不是随手玩票的脚本小子。Sysdig直指:攻击者从漏洞验证到payload部署,一气呵成。准备工作早在公告出来前就做好了。
20小时这个时间窗口,跟现在的大趋势完全吻合。Rapid7最新报告里讲,2018年漏洞从公开到被利用的中位时间是771天,2024年已经压缩到几小时。CISA的KEV目录收录速度也从8.5天掉到5天。反观企业打补丁,中位数还要20天。时间差摆在那,谁先动谁吃肉。
Langflow这种AI低代码平台,本来就是开发者和企业的香饽饽。结果安全设计一塌糊涂,公开端点直接喂exec(),等于把服务器root权限挂在门口。AI工作负载现在就是攻击者的重点目标:数据多、供应链位置关键、防守薄弱。接连两个高危洞被盯上,CVE-2025-3248已经被CISA列入KEV,CVE-2026-33017估计也快了。
加密市场这边风平浪静,BTC现报$69,996(24h +0.69%),ETH现报$2,139(24h +1.30%),主流币小幅飘红。黑客没把算力转向挖矿,而是直奔AI工具的控制权。说明现在的攻击逻辑变了:算力其次,数据和链路权限才是真金白银。
用Langflow的团队赶紧查。升级到最新开发版只是第一步。公开暴露的实例必须审计全部环境变量和密钥,密码全部轮换。网络层加防火墙或反代认证,限制访问。任何异常出站连接,尤其是指向8443这种非标端口的,都要立刻拉警报。
开源工具火了以后,安全就成了最先掉链子的那块板。Langflow这次教训血淋淋:公告一出,攻击者比厂商自己还熟悉代码。防守方还在开会评估影响,人家已经开shell了。
下次再有类似AI平台爆雷,估计连20小时都等不到了。直接几小时内见血。