Hvad CISA tilføjede, og hvorfor det er en første gang
CISA tilføjede CVE-2026-55255, en adgangsfejl i det visuelle Langflow-framework til at bygge AI-agenter, til sit katalog over kendte udnyttede sårbarheder og påbød amerikanske føderale myndigheder at rette den inden for dage. Defekten er en usikker direkte objektreference i endepunktet /api/v1/responses og rammer enhver version før 1.9.2: autorisationen hang på en bruger-leveret identifikator, som serveren aldrig kontrollerede igen, så en indlogget bruger kunne kalde en anden brugers flows.
Det bemærkelsesværdige ved denne post er ikke mekanikken, men kategorien. Kataloget har længe registreret styresystemer, netværksudstyr og virksomhedsservere under aktivt angreb; Langflow er den første platform til at bygge AI-agenter, der nogensinde er tilføjet. Det er en milepæl: det værktøjslag, hvor virksomheder kobler sprogmodeller til deres egne systemer, behandles nu som levende, udnyttet infrastruktur, ikke som en legeplads.
Hvordan en omgåelse blev til stjålne nøgler
Sikkerhedsfirmaet Sysdig sporede en reel kampagne, der løb fra 22. til 25. juni, hvor en aktør kædede CVE-2026-55255 sammen med endnu en Langflow-fejl, CVE-2026-33017, for at nå flows, de ikke ejede, og trække de hemmeligheder ud, der lå gemt i dem. Byttet var ikke dokumenter eller databaserækker; det var legitimationsoplysninger - API-nøgler fra udbydere af store sprogmodeller og Amazon Web Services-nøgler, taget på tværs af lejergrænser på delte eller internet-tilgængelige instanser.
Det er den del, ejere bør dvæle ved. En agentbygger findes for at forbinde modeller, data og cloud-tjenester, så den opbevarer per design de nøgler, der udfører forbindelsen. Når adgangskontrollen svigter, får angriberen ikke en hærværket side; han får nøglerne, der faktureres til din konto, kører dine modeller og åbner din cloud. Udnyttelsen forvandlede et low-code bekvemmelighedslag til en nøgleboks med en ødelagt lås.
Hvorfor din low-code AI-stak nu er angrebsflade
Den praktiske lære er, at agent- og automatiseringsbyggere samler kronjuvel-legitimationsoplysninger som få andre værktøjer, fordi hver konnektor, de tilbyder, kræver en hemmelighed for at virke. Selv-hosting neutraliserer det ikke; en internet-tilgængelig instans en version bag patchen er nok, og sådanne værktøjer går ofte hurtigt i luften i et team, der eksperimenterer, uden for den sædvanlige kontrol. Skadesradius er hvert system, de gemte nøgler kan nå.
For en europæisk operatør er der også en compliance-kant. Under NIS2 og DORA er hændelsen og dens rapporteringsur dine, ikke leverandørens, hvis lækkede udbydernøgler muliggør svindel eller et nedbrud på din lejer. Handlingen er derfor uglamourøs og konkret: opgør hver agent- og automatiseringsplatform i brug, løft Langflow til 1.9.2 eller nyere, begræns hvem der kan nå den, og roter hver LLM- og cloud-nøgle, instansen nogensinde har haft. Fold så disse værktøjer ind i samme sårbarhedshåndterings-rytme som enhver anden internetvendt applikation.
Læs videre: 430.000 firewalls blev en ransomware-forsyningslinje | CitrixBleed er tilbage, udnyttet inden for en dag



