Критическая уязвимость отсутствия аутентификации CVE-2026-44338 (CVSS 7.3) в открытом фреймворке мультиагентной оркестрации PraisonAI стала объектом активного сканирования менее чем через четыре часа после публикации рекомендации. Уязвимость затрагивает версии с 2.5.6 по 4.6.33 и позволяет любому сетевому клиенту без токена получить доступ к защищённым эндпоинтам API-сервера, включая перечисление агентов и запуск рабочих процессов. Исправление доступно в версии 4.6.34 — обновление рекомендуется незамедлительно.

Техническая суть уязвимости

Согласно рекомендации безопасности GitHub, проблема заключается в устаревшем API-сервере на базе Flask, расположенном в файле src/praisonai/api_server.py. В этом сервере параметры аутентификации жёстко заданы как AUTH_ENABLED = False и AUTH_TOKEN = None. Фактически аутентификация отключена по умолчанию, и обход является безусловным — он не зависит от конфигурации оператора.

При использовании этого устаревшего сервера любой клиент, имеющий сетевой доступ к инстансу, может:

• Получить список сконфигурированных агентов через эндпоинт /agents без аутентификации
• Запустить рабочий процесс, описанный в agents.yaml, через эндпоинт /chat
• Многократно расходовать квоту модели или API-провайдера
• Получить результаты выполнения PraisonAI.run()

Реальный ущерб напрямую зависит от того, какие действия разрешены в конфигурации agents.yaml конкретного развёртывания. Если агенты имеют доступ к внутренним системам, базам данных или внешним API с привилегированными ключами, последствия могут быть значительно серьёзнее, чем просто утечка конфигурации. Уязвимость обнаружена исследователем безопасности Шмуликом Коэном (Shmulik Cohen).

Наблюдаемая активность сканирования

По данным компании Sysdig, зафиксировавшей активность сканирования, рекомендация была опубликована 11 мая 2026 года в 13:56 UTC. Первый целевой запрос к уязвимому эндпоинту поступил в 17:40 UTC того же дня — через 3 часа 44 минуты.

Сканер, идентифицировавший себя как CVE-Detector/1.0, действовал с IP-адреса 146.190.133[.]49 и выполнил два прохода с интервалом в восемь минут. Каждый проход генерировал примерно 70 запросов за 50 секунд:

• Первый проход — сканирование типичных путей раскрытия информации: /.env, /admin, /users/sign_in, /eval, /calculate, /Gemfile.lock
• Второй проход — целенаправленное сканирование поверхностей атаки, специфичных для AI-агентов, включая PraisonAI

Ключевой запрос, соответствующий CVE-2026-44338, представлял собой GET /agents без заголовка Authorization и с User-Agent CVE-Detector/1.0. Как сообщает Sysdig, сервер вернул 200 OK с телом ответа, содержащим конфигурацию агентов, что подтвердило успешный обход аутентификации.

Важно отметить: по данным Sysdig, POST-запросов к эндпоинту /chat зафиксировано не было. Это указывает на разведывательный характер активности — определение уязвимых хостов без попыток запуска рабочих процессов. Однако следует учитывать, что эти наблюдения основаны на телеметрии одного источника и не подтверждены независимо другими исследователями или CISA.

Оценка воздействия

Двухфазный профиль сканирования заслуживает отдельного внимания. Сочетание классических путей разведки веб-приложений с целенаправленным сканированием AI-инфраструктуры свидетельствует о том, что инструментарий злоумышленников адаптируется к экосистеме AI-агентов. Фреймворки оркестрации агентов, подобные PraisonAI, часто развёртываются с доступом к API-ключам языковых моделей, внутренним сервисам и конфиденциальным данным, что делает их привлекательной целью.

Наибольшему риску подвержены организации, которые:

• Развернули PraisonAI с устаревшим Flask API-сервером, доступным из интернета
• Используют конфигурации agents.yaml с привилегированными API-ключами или доступом к внутренним ресурсам
• Не обновили PraisonAI до версии 4.6.34

При успешной эксплуатации злоумышленник может не только получить конфигурацию агентов, но и запустить произвольные рабочие процессы, что приведёт к расходованию квот API-провайдеров, утечке данных через результаты выполнения агентов или использованию инфраструктуры жертвы как промежуточного звена для дальнейших атак.

Рекомендации по реагированию

1. Немедленно обновите PraisonAI до версии 4.6.34 или выше
2. Проведите аудит развёртываний: проверьте, не используется ли устаревший Flask API-сервер (api_server.py) и не доступен ли он из внешней сети
3. Проверьте журналы на наличие запросов к /agents и /chat без заголовка Authorization, особенно с User-Agent CVE-Detector/1.0 или с IP-адреса 146.190.133[.]49
4. Ротируйте учётные данные: все API-ключи и токены, указанные в agents.yaml, следует считать потенциально скомпрометированными и заменить
5. Проверьте биллинг у провайдеров языковых моделей на предмет аномального потребления квот
6. Ограничьте сетевой доступ к API-серверу PraisonAI средствами сетевой сегментации или межсетевого экрана

Случай CVE-2026-44338 демонстрирует, что окно между публикацией рекомендации безопасности и началом массового сканирования для AI-инфраструктуры измеряется часами. Любой проект, поставляемый с отключённой по умолчанию аутентификацией и доступный из сети, будет обнаружен и протестирован автоматизированными инструментами практически мгновенно. Приоритетное действие — обновление до версии 4.6.34 с последующей ротацией всех секретов, на которые ссылается конфигурация агентов.