CyberSecureFox | ️ Я натрапив на цікаву історію про те, як AI-фреймворк без автентифіка...

🕵️ Я натрапив на цікаву історію про те, як AI-фреймворк без автентифікації почали масово сканувати вже за кілька годин після публікації CVE. Мені здається, це гарний індикатор того, наскільки швидко зараз відпрацьовують нові баги.Мова про PraisonAI і вразливість CVE-2026-44338: старий Flask API-сервер просто запускався з AUTH_ENABLED = False. Тобто будь-хто, хто бачить інстанс у мережі, може зайти на /agents і навіть дернути /chat без жодного токена 🤖. Сканування почалось вже через ~3 год 44 хв після рекомендації – автоматизовані "мисливці" працюють дуже швидко ⚠️Наслідки залежать від того, що ви дозволили своїм агентам у agents.yaml: доступ до баз, внутрішніх сервісів, привілейованих API-ключів = потенційний витік + спалені квоти 🔐 Якщо раптом гралися з PraisonAI у версіях 2.5.6–4.6.33 — я б на вашому місці негайно оновився до 4.6.34, переглянув логи /agents і /chat та зробив ротацію ключів. Як ви взагалі ставитеся до AI-фреймворків, які за замовчуванням вимикають auth — "норм для dev", чи це вже червона ганчірка? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/cve-2026-44338-krytychna-vrazlyvist-praisonai#кібербезпека #ai #praisonai #devsecops #cve #mlopsCyberSecureFox