### Rápida Exploração da Vulnerabilidade no PraisonAI Pesquisadores de segurança observaram atores de ameaças explorando ativamente a **CVE-2026-44338**, uma vulnerabilidade crítica no **PraisonAI**. Essa falha permite acesso não autenticado a endpoints sensíveis, potencialmente permitindo que atacantes invoquem funcionalidades protegidas do servidor API sem autorização adequada. ### Detalhes do Bypass de Autenticação CVE-2026-44338 A vulnerabilidade, rastreada como **CVE-2026-44338** (pontuação CVSS: 7.3), decorre de uma verificação de autenticação ausente. De acordo com um aviso, o **PraisonAI** vem com um servidor API Flask legado que tem a autenticação desabilitada por padrão. Isso significa que qualquer chamador capaz de alcançar o servidor pode acessar `/agents` e acionar o fluxo de trabalho `agents.yaml` configurado através de `/chat` sem a necessidade de um token. O servidor API legado baseado em Flask (`src/praisonai/api_server.py`) codifica `AUTH_ENABLED = False` e `AUTH_TOKEN = None`. A exploração bem-sucedida pode levar a: * Enumeração não autenticada do arquivo de agente configurado através de `/agents` * Acionamento não autenticado do fluxo de trabalho `agents.yaml` configurado localmente através de `/chat` * Consumo repetido da cota de modelo/API * Exposição dos resultados de `PraisonAI.run()` ao chamador não autenticado O impacto varia dependendo da configuração do `agents.yaml` do operador, mas o bypass de autenticação é incondicional no servidor legado fornecido. ### Versões Afetadas e Mitigação A vulnerabilidade afeta todas as versões do pacote Python de 2.5.6 a 4.6.33. Um patch está disponível na versão 4.6.34. O crédito pela descoberta e relato da vulnerabilidade vai para o pesquisador de segurança Shmulik Cohen. ### Exploração em Tempo Real Observada A **Sysdig** relatou ter observado tentativas de exploração em poucas horas após a divulgação pública da vulnerabilidade. "Em três horas e 44 minutos após o aviso se tornar público, um scanner que se identificou como CVE-Detector/1.0 estava sondando o endpoint vulnerável exato em instâncias expostas à internet", afirmou a **Sysdig**. "O aviso foi publicado [em 11 de maio de 2026] às 13:56 UTC. A primeira solicitação direcionada chegou às 17:40 UTC do mesmo dia." A atividade se originou do endereço IP 146.190.133[.]49 e seguiu um perfil de scanner empacotado, realizando duas passagens com aproximadamente 70 requisições cada. ### Comportamento do Scanner e Implicações A primeira passagem escaneou caminhos de divulgação genéricos, enquanto a segunda visou especificamente superfícies de agentes de IA, incluindo o **PraisonAI**. A sonda que correspondeu à **CVE-2026-44338** foi uma requisição `GET /agents` sem um cabeçalho Authorization, confirmando que o bypass foi bem-sucedido. O scanner não enviou nenhuma requisição `POST` para o endpoint `/chat`, sugerindo uma verificação inicial para confirmar o bypass de autenticação e a explorabilidade. ### Recomendações para Profissionais de Segurança A rápida exploração da falha no **PraisonAI** reforça a necessidade de aplicação de patches rápida e medidas de segurança proativas. É crucial: * Aplicar as correções mais recentes o mais rápido possível. * Auditar implantações existentes em busca de versões vulneráveis. * Revisar o faturamento do provedor de modelo em busca de atividades suspeitas. * Rotacionar credenciais referenciadas em `agents.yaml`. A **Sysdig** enfatiza que as ferramentas de adversários estão escalando para todo o ecossistema de IA e agentes, independentemente do tamanho. A suposição operacional deve ser que a janela entre a divulgação e a exploração ativa agora é medida em poucas horas para qualquer projeto com padrões não autenticados.