### PraisonAIの脆弱性の迅速な悪用 セキュリティ研究者は、**PraisonAI**における重大な脆弱性である**CVE-2026-44338**を脅威アクターが積極的に悪用していることを確認しています。この脆弱性により、認証されていないアクセスが機密性の高いエンドポイントに可能となり、攻撃者が適切な認証なしにAPIサーバーの保護された機能を呼び出すことができる可能性があります。 ### CVE-2026-44338：認証バイパスの詳細 **CVE-2026-44338**（CVSSスコア：7.3）として追跡されているこの脆弱性は、認証チェックの欠如に起因します。アドバイザリによると、**PraisonAI**はデフォルトで認証が無効になっているレガシーFlask APIサーバーを備えています。これは、サーバーに到達できる任意の呼び出し元が、トークンなしで`/agents`にアクセスし、`/chat`を介して設定済みの`agents.yaml`ワークフローをトリガーできることを意味します。 レガシーFlaskベースのAPIサーバー（`src/praisonai/api_server.py`）は、`AUTH_ENABLED = False`および`AUTH_TOKEN = None`をハードコードしています。悪用に成功すると、以下のような結果につながる可能性があります。 * `/agents`を介した設定済みエージェントファイルの認証されていない列挙 * `/chat`を介したローカルで設定された`agents.yaml`ワークフローの認証されていないトリガー * モデル/APIクォータの繰り返し消費 * `PraisonAI.run()`の結果が認証されていない呼び出し元に公開される 影響はオペレーターの`agents.yaml`の設定に依存しますが、出荷されているレガシーサーバーでは認証バイパスは無条件です。 ### 影響を受けるバージョンと緩和策 この脆弱性は、Pythonパッケージのバージョン2.5.6から4.6.33まで影響を受けます。バージョン4.6.34でパッチが利用可能です。脆弱性の発見と報告の功績は、セキュリティ研究者のShmulik Cohen氏に帰せられます。 ### 実世界での悪用が確認される **Sysdig**は、脆弱性の公開後数時間以内に悪用試行を確認したと報告しています。 「アドバイザリが公開されてから3時間44分以内に、CVE-Detector/1.0を名乗るスキャナーが、インターネットに公開されているインスタンス上の正確に脆弱なエンドポイントをプローブしていました」と**Sysdig**は述べています。「アドバイザリは[2026年5月11日]の13:56 UTCに公開されました。最初の標的となったリクエストは、同日の17:40 UTCに着信しました。」 このアクティビティはIPアドレス146.190.133[.]49から発生し、パッケージ化されたスキャナープロファイルに従い、それぞれ約70件のリクエストで2回のパスを実行しました。 ### スキャナーの動作と影響 最初のパスは一般的な開示パスをスキャンしましたが、2番目のパスは特に**PraisonAI**を含むAIエージェントサーフェスを標的としました。**CVE-2026-44338**に一致するプローブは、Authorizationヘッダーのない`GET /agents`リクエストであり、バイパスが成功したことを確認しました。 スキャナーは`/chat`エンドポイントに`POST`リクエストを送信しなかったため、認証バイパスを確認し、悪用可能性を検証するための初期チェックを示唆しています。 ### セキュリティ専門家への推奨事項 **PraisonAI**の脆弱性の迅速な悪用は、迅速なパッチ適用とプロアクティブなセキュリティ対策の必要性を強調しています。以下のことが重要です。 * 最新の修正を可能な限り早く適用する。 * 既存のデプロイメントで脆弱なバージョンを監査する。 * `agents.yaml`で参照されているモデルプロバイダーの請求を、不審なアクティビティがないか確認する。 * `agents.yaml`で参照されている認証情報をローテーションする。 **Sysdig**は、攻撃者のツールは、規模に関係なく、AIおよびエージェントエコシステム全体に拡張されていると強調しています。デフォルトで認証されていないプロジェクトについては、開示から実際の悪用までの期間が現在、一桁の時間で測定されるという運用上の仮定を持つべきです。