Критична вразливість відсутності автентифікації CVE-2026-44338 (CVSS 7.3) у відкритому фреймворку мультиагентної оркестрації PraisonAI стала об’єктом активного сканування менш ніж через чотири години після публікації рекомендації. Вразливість зачіпає версії з 2.5.6 по 4.6.33 і дає змогу будь-якому мережевому клієнту без токена отримати доступ до захищених ендпоінтів API-сервера, зокрема до переліку агентів та запуску робочих процесів. Виправлення доступне у версії 4.6.34 — оновлення рекомендується виконати негайно.

Технічна суть вразливості

Згідно з рекомендацією безпеки GitHub, проблема полягає в застарілому API-сервері на базі Flask, розташованому у файлі src/praisonai/api_server.py. У цьому сервері параметри автентифікації жорстко задані як AUTH_ENABLED = False і AUTH_TOKEN = None. Фактично автентифікацію вимкнено за замовчуванням, а обхід є безумовним — він не залежить від конфігурації оператора.

За використання цього застарілого сервера будь-який клієнт, який має мережевий доступ до інстансу, може:

• Отримати список сконфігурованих агентів через ендпоінт /agents без автентифікації
• Запустити робочий процес, описаний у agents.yaml, через ендпоінт /chat
• Необмежено витрачати квоту моделі або API-провайдера
• Отримати результати виконання PraisonAI.run()

Реальні наслідки безпосередньо залежать від того, які дії дозволені в конфігурації agents.yaml конкретного розгортання. Якщо агенти мають доступ до внутрішніх систем, баз даних або зовнішніх API з привілейованими ключами, наслідки можуть бути значно серйознішими, ніж просто витік конфігурації. Вразливість виявив дослідник безпеки Шмулік Коен (Shmulik Cohen).

Зафіксована активність сканування

За даними компанії Sysdig, яка зафіксувала активність сканування, рекомендація була опублікована 11 травня 2026 року о 13:56 UTC. Перший цільовий запит до вразливого ендпоінта надійшов о 17:40 UTC того ж дня — через 3 години 44 хвилини.

Сканер, що ідентифікував себе як CVE-Detector/1.0, діяв з IP-адреси 146.190.133[.]49 і виконав два проходи з інтервалом у вісім хвилин. Кожен прохід генерував приблизно 70 запитів за 50 секунд:

• Перший прохід — сканування типових шляхів розкриття інформації: /.env, /admin, /users/sign_in, /eval, /calculate, /Gemfile.lock
• Другий прохід — цілеспрямоване сканування поверхонь атаки, специфічних для AI-агентів, зокрема PraisonAI

Ключовий запит, що відповідає CVE-2026-44338, був GET /agents без заголовка Authorization і з User-Agent CVE-Detector/1.0. Як повідомляє Sysdig, сервер повернув 200 OK з тілом відповіді, що містило конфігурацію агентів, що підтвердило успішний обхід автентифікації.

Важливо відзначити: за даними Sysdig, POST-запити до ендпоінта /chat зафіксовано не було. Це вказує на розвідувальний характер активності — визначення вразливих хостів без спроб запуску робочих процесів. Втім, варто враховувати, що ці спостереження базуються на телеметрії з одного джерела і не підтверджені незалежно іншими дослідниками або CISA.

Оцінка впливу

Двофазний профіль сканування заслуговує на окрему увагу. Поєднання класичних шляхів розвідки вебзастосунків із цілеспрямованим скануванням AI-інфраструктури свідчить про те, що інструментарій зловмисників адаптується до екосистеми AI-агентів. Фреймворки оркестрації агентів, подібні до PraisonAI, часто розгортаються з доступом до API-ключів мовних моделей, внутрішніх сервісів і конфіденційних даних, що робить їх привабливою ціллю.

Найбільшому ризику піддаються організації, які:

• Розгорнули PraisonAI із застарілим Flask API-сервером, доступним з інтернету
• Використовують конфігурації agents.yaml з привілейованими API-ключами або доступом до внутрішніх ресурсів
• Не оновили PraisonAI до версії 4.6.34

У разі успішної експлуатації зловмисник може не лише отримати конфігурацію агентів, а й запустити довільні робочі процеси, що призведе до витрачання квот API-провайдерів, витоку даних через результати виконання агентів або використання інфраструктури жертви як проміжної ланки для подальших атак.

Рекомендації щодо реагування

1. Негайно оновіть PraisonAI до версії 4.6.34 або вище
2. Проведіть аудит розгортань: перевірте, чи не використовується застарілий Flask API-сервер (api_server.py) і чи не доступний він із зовнішньої мережі
3. Перевірте журнали на наявність запитів до /agents і /chat без заголовка Authorization, особливо з User-Agent CVE-Detector/1.0 або з IP-адреси 146.190.133[.]49
4. Проведіть ротацію облікових даних: усі API-ключі та токени, зазначені у agents.yaml, слід вважати потенційно скомпрометованими й замінити
5. Перевірте білінг у провайдерів мовних моделей на предмет аномального споживання квот
6. Обмежте мережевий доступ до API-сервера PraisonAI засобами мережевої сегментації або міжмережевого екрана

Випадок CVE-2026-44338 демонструє, що вікно між публікацією рекомендації з безпеки та початком масового сканування для AI-інфраструктури вимірюється годинами. Будь-який проєкт, що постачається з вимкненою за замовчуванням автентифікацією й доступний із мережі, буде виявлений і перевірений автоматизованими інструментами практично миттєво. Пріоритетна дія — оновлення до версії 4.6.34 з подальшою ротацією всіх секретів, на які посилається конфігурація агентів.