### Schnelle Ausnutzung der PraisonAI-Schwachstelle Sicherheitsforscher haben beobachtet, wie Bedrohungsakteure aktiv **CVE-2026-44338**, eine kritische Schwachstelle in **PraisonAI**, ausnutzen. Diese Lücke ermöglicht unauthentifizierten Zugriff auf sensible Endpunkte und kann Angreifern potenziell ermöglichen, die geschützten Funktionen des API-Servers ohne ordnungsgemäße Autorisierung aufzurufen. ### CVE-2026-44338: Details zur Umgehung der Authentifizierung Die Schwachstelle, die unter **CVE-2026-44338** (CVSS-Score: 7.3) geführt wird, beruht auf einer fehlenden Authentifizierungsprüfung. Laut einem Advisory wird **PraisonAI** mit einem älteren Flask API-Server ausgeliefert, bei dem die Authentifizierung standardmäßig deaktiviert ist. Das bedeutet, dass jeder Aufrufer, der den Server erreichen kann, über `/chat` auf `/agents` zugreifen und den konfigurierten `agents.yaml`-Workflow auslösen kann, ohne ein Token zu benötigen. Der ältere Flask-basierte API-Server (`src/praisonai/api_server.py`) enthält hartcodierte Werte für `AUTH_ENABLED = False` und `AUTH_TOKEN = None`. Eine erfolgreiche Ausnutzung kann zu folgenden Ergebnissen führen: * Unauthentifizierte Aufzählung der konfigurierten Agentendatei über `/agents` * Unauthentifiziertes Auslösen des lokal konfigurierten `agents.yaml`-Workflows über `/chat` * Wiederholte Verbrauchs von Modell-/API-Kontingenten * Offenlegung der Ergebnisse von `PraisonAI.run()` für den unauthentifizierten Aufrufer Die Auswirkungen variieren je nach Konfiguration von `agents.yaml` des Betreibers, aber die Umgehung der Authentifizierung ist im ausgelieferten älteren Server bedingungslos. ### Betroffene Versionen und Abhilfemaßnahmen Die Schwachstelle betrifft alle Versionen des Python-Pakets von 2.5.6 bis 4.6.33. Ein Patch ist in Version 4.6.34 verfügbar. Die Entdeckung und Meldung der Schwachstelle geht an den Sicherheitsforscher Shmulik Cohen. ### Beobachtete reale Ausnutzung **Sysdig** berichtete, dass Ausnutzungsversuche innerhalb von Stunden nach der öffentlichen Offenlegung der Schwachstelle beobachtet wurden. "Innerhalb von drei Stunden und 44 Minuten nach der Veröffentlichung des Advisories hat ein Scanner, der sich als CVE-Detector/1.0 identifizierte, den exakt anfälligen Endpunkt auf im Internet exponierten Instanzen gescannt", so **Sysdig**. "Das Advisory wurde [am 11. Mai 2026] um 13:56 UTC veröffentlicht. Die erste gezielte Anfrage traf um 17:40 UTC desselben Tages ein." Die Aktivität stammte von der IP-Adresse 146.190.133[.]49 und folgte einem Profil eines Paket-Scanners, der zwei Durchläufe mit jeweils etwa 70 Anfragen durchführte. ### Scanner-Verhalten und Implikationen Der erste Durchlauf scannte generische Offenlegungswege, während der zweite gezielt KI-Agenten-Oberflächen, einschließlich **PraisonAI**, anvisierte. Die Übereinstimmung der Sonde mit **CVE-2026-44338** war eine `GET /agents`-Anfrage ohne Autorisierungsheader, was die erfolgreiche Umgehung bestätigte. Der Scanner sendete keine `POST`-Anfragen an den `/chat`-Endpunkt, was auf eine anfängliche Prüfung zur Verifizierung der Authentifizierungsumgehung und Bestätigung der Ausnutzbarkeit hindeutet. ### Empfehlungen für Sicherheitsexperten Die schnelle Ausnutzung der **PraisonAI**-Lücke unterstreicht die Notwendigkeit schneller Patches und proaktiver Sicherheitsmaßnahmen. Es ist entscheidend, Folgendes zu tun: * Wenden Sie die neuesten Fixes so schnell wie möglich an. * Überprüfen Sie bestehende Bereitstellungen auf anfällige Versionen. * Überprüfen Sie die Abrechnung des Modellproviders auf verdächtige Aktivitäten. * Rotieren Sie die in `agents.yaml` referenzierten Anmeldeinformationen. **Sysdig** betont, dass die Werkzeuge von Angreifern für das gesamte KI- und Agenten-Ökosystem skaliert werden, unabhängig von seiner Größe. Die operative Annahme sollte sein, dass das Zeitfenster zwischen Offenlegung und aktiver Ausnutzung nun bei jedem Projekt mit unauthentifizierten Standardeinstellungen im einstelligen Stundenbereich liegt.