Die kritische Schwachstelle der fehlenden Authentifizierung CVE-2026-44338 (CVSS 7.3) im offenen Framework für Multi-Agenten-Orchestrierung PraisonAI wurde weniger als vier Stunden nach Veröffentlichung der Empfehlung zum Ziel aktiver Scans. Die Schwachstelle betrifft die Versionen von 2.5.6 bis 4.6.33 und ermöglicht es jedem Netzwerkkunden ohne Token, auf geschützte Endpunkte des API-Servers zuzugreifen, einschließlich der Auflistung von Agenten und des Starts von Workflows. Die Behebung steht in Version 4.6.34 zur Verfügung – ein sofortiges Update wird dringend empfohlen.

Technischer Kern der Schwachstelle

Laut der Sicherheitsempfehlung von GitHub liegt das Problem in einem veralteten Flask-basierten API-Server in der Datei src/praisonai/api_server.py. In diesem Server sind die Authentifizierungsparameter hart auf AUTH_ENABLED = False und AUTH_TOKEN = None gesetzt. De facto ist die Authentifizierung standardmäßig deaktiviert, und der Bypass ist bedingungslos – er hängt nicht von der Konfiguration des Betreibers ab.

Bei Verwendung dieses veralteten Servers kann jeder Client mit Netzwerkzugang zur Instanz:

• Die Liste der konfigurierten Agenten über den Endpunkt /agents ohne Authentifizierung abrufen
• Einen im agents.yaml beschriebenen Workflow über den Endpunkt /chat starten
• Die Modell- oder API-Provider-Quota vielfach verbrauchen
• Die Ergebnisse der Ausführung von PraisonAI.run() erhalten

Der tatsächliche Schaden hängt direkt davon ab, welche Aktionen in der agents.yaml-Konfiguration der jeweiligen Bereitstellung erlaubt sind. Haben die Agenten Zugriff auf interne Systeme, Datenbanken oder externe APIs mit privilegierten Schlüsseln, können die Folgen deutlich gravierender sein als nur der Abfluss der Konfiguration. Die Schwachstelle wurde vom Sicherheitsforscher Shmulik Cohen entdeckt.

Beobachtete Scan-Aktivität

Nach Angaben des Unternehmens Sysdig, das die Scan-Aktivität erfasst hat, wurde die Empfehlung am 11. Mai 2026 um 13:56 UTC veröffentlicht. Die erste gezielte Anfrage an den verwundbaren Endpunkt ging am selben Tag um 17:40 UTC ein – nach 3 Stunden und 44 Minuten.

Der Scanner, der sich mit CVE-Detector/1.0 identifizierte, agierte von der IP-Adresse 146.190.133[.]49 aus und führte zwei Durchläufe mit einem Abstand von acht Minuten durch. Jeder Durchlauf erzeugte etwa 70 Anfragen in 50 Sekunden:

• Erster Durchlauf – Scan typischer Pfade zur Informationspreisgabe: /.env, /admin, /users/sign_in, /eval, /calculate, /Gemfile.lock
• Zweiter Durchlauf – gezieltes Scannen von Angriffsflächen, die spezifisch für AI-Agenten sind, einschließlich PraisonAI

Die zentrale Anfrage, die CVE-2026-44338 entspricht, war ein GET /agents ohne Authorization-Header und mit dem User-Agent CVE-Detector/1.0. Wie Sysdig berichtet, antwortete der Server mit 200 OK und einem Response-Body, der die Agenten-Konfiguration enthielt, was den erfolgreichen Authentifizierungs-Bypass bestätigte.

Wichtig zu beachten: Nach den Daten von Sysdig wurden keine POST-Anfragen an den Endpunkt /chat registriert. Dies deutet auf einen reinen Aufklärungscharakter der Aktivität hin – also die Identifizierung verwundbarer Hosts ohne Versuche, Workflows zu starten. Allerdings ist zu berücksichtigen, dass diese Beobachtungen auf der Telemetrie einer einzigen Quelle beruhen und nicht unabhängig von anderen Forschern oder der CISA bestätigt wurden.

Auswirkungsbewertung

Das zweiphasige Scan-Profil verdient besondere Beachtung. Die Kombination klassischer Reconnaissance-Pfade für Webanwendungen mit gezieltem Scannen von AI-Infrastruktur zeigt, dass sich das Werkzeugarsenal von Angreifern an das Ökosystem der AI-Agenten anpasst. Orchestrierungs-Frameworks für Agenten wie PraisonAI werden häufig mit Zugriff auf API-Schlüssel von Sprachmodellen, interne Dienste und vertrauliche Daten bereitgestellt, was sie zu einem attraktiven Ziel macht.

Am stärksten gefährdet sind Organisationen, die:

• PraisonAI mit dem veralteten Flask API-Server (api_server.py) im Einsatz haben, der aus dem Internet erreichbar ist
• agents.yaml-Konfigurationen mit privilegierten API-Schlüsseln oder Zugriff auf interne Ressourcen verwenden
• PraisonAI noch nicht auf Version 4.6.34 aktualisiert haben

Bei erfolgreicher Ausnutzung kann ein Angreifer nicht nur die Agenten-Konfiguration abrufen, sondern auch beliebige Workflows starten, was zu übermäßigem Verbrauch der Quotas von API-Providern, zu Datenabflüssen über Agenten-Ergebnisse oder zur Nutzung der Infrastruktur des Opfers als Zwischenstation für weitere Angriffe führen kann.

Empfehlungen zur Reaktion

1. Aktualisieren Sie umgehend PraisonAI auf Version 4.6.34 oder höher
2. Führen Sie einen Deployment-Audit durch: Prüfen Sie, ob der veraltete Flask API-Server (api_server.py) eingesetzt und aus externen Netzwerken erreichbar ist
3. Überprüfen Sie die Logdateien auf Anfragen an /agents und /chat ohne Authorization-Header, insbesondere mit dem User-Agent CVE-Detector/1.0 oder von der IP-Adresse 146.190.133[.]49
4. Rotieren Sie Zugangsdaten: Alle in agents.yaml hinterlegten API-Schlüssel und Tokens sind als potenziell kompromittiert zu betrachten und zu ersetzen
5. Prüfen Sie das Billing bei den Anbietern von Sprachmodellen auf ungewöhnlichen Quotenverbrauch
6. Beschränken Sie den Netzwerkzugang zum PraisonAI API-Server mittels Netzsegmentierung oder Firewall

Der Fall CVE-2026-44338 zeigt, dass das Zeitfenster zwischen Veröffentlichung einer Sicherheitsempfehlung und dem Beginn massenhaften Scannens im Bereich der AI-Infrastruktur in Stunden gemessen wird. Jedes Projekt, das mit standardmäßig deaktivierter Authentifizierung ausgeliefert und aus dem Netzwerk erreichbar ist, wird von automatisierten Tools nahezu sofort gefunden und getestet. Die vorrangige Maßnahme ist das Update auf Version 4.6.34, gefolgt von der Rotation sämtlicher Secrets, auf die in der Agenten-Konfiguration verwiesen wird.