Cosa ha aggiunto la CISA, e perché è una prima volta
La CISA ha aggiunto CVE-2026-55255, un difetto di controllo degli accessi nel framework visuale Langflow per creare agenti IA, al suo catalogo delle vulnerabilità sfruttate note e ha ordinato alle agenzie federali statunitensi di correggerla entro pochi giorni. Il difetto è un riferimento diretto a oggetti non sicuro nell'endpoint /api/v1/responses, che colpisce ogni versione precedente alla 1.9.2: l'autorizzazione dipendeva da un identificatore fornito dall'utente che il server non riverificava mai, così un utente autenticato poteva invocare i flussi di un altro.
Ciò che rende notevole questa voce non è la meccanica ma la categoria. Il catalogo registra da tempo sistemi operativi, apparati di rete e server aziendali sotto attacco attivo; Langflow è la prima piattaforma di creazione di agenti IA mai inserita. È un segnavia: lo strato di strumenti dove le aziende collegano i modelli linguistici ai propri sistemi è ora trattato come infrastruttura viva e sfruttata, non come un ambiente sperimentale.
Come un aggiramento è diventato chiavi rubate
La società di sicurezza Sysdig ha ricostruito una campagna reale che è andata dal 22 al 25 giugno, in cui un operatore ha concatenato CVE-2026-55255 con una seconda falla di Langflow, CVE-2026-33017, per raggiungere flussi non propri ed estrarne i segreti custoditi. Il bottino non erano documenti o righe di database; erano credenziali - chiavi API di fornitori di grandi modelli linguistici e chiavi Amazon Web Services, sottratte oltre i confini del tenant su istanze condivise o raggiungibili da internet.
È su questo punto che i proprietari dovrebbero soffermarsi. Un costruttore di agenti esiste per collegare modelli, dati e servizi cloud, quindi per progettazione custodisce le chiavi che fanno quel collegamento. Quando il controllo degli accessi cede, l'attaccante non ottiene una pagina deturpata; ottiene le chiavi che vengono addebitate al tuo account, eseguono i tuoi modelli e aprono il tuo cloud. L'exploit ha trasformato uno strato di comodità low-code in una cassaforte di chiavi con la serratura rotta.
Perché il tuo stack IA low-code ora è superficie di attacco
La lezione pratica è che i costruttori di agenti e di automazione concentrano credenziali di massimo valore come pochi altri strumenti, perché ogni connettore che offrono ha bisogno di un segreto per funzionare. L'auto-hosting non lo neutralizza; basta un'istanza raggiungibile da internet e in ritardo di una versione sulla patch, e questi strumenti spesso salgono in fretta in un team che sperimenta, fuori dai controlli abituali. Il raggio d'impatto è ogni sistema che quelle chiavi custodite possono raggiungere.
Per un operatore europeo c'è anche un bordo di conformità. Con NIS2 e DORA, se chiavi di fornitore trapelate consentono una frode o un'interruzione sul tuo tenant, l'incidente e il suo orologio di notifica sono tuoi, non del fornitore. L'azione è quindi poco appariscente e precisa: inventaria ogni piattaforma di agenti e automazione in uso, porta Langflow alla 1.9.2 o superiore, limita chi può raggiungerla e ruota ogni chiave LLM e cloud che l'istanza abbia mai custodito. Poi inserisci questi strumenti nello stesso ritmo di gestione delle vulnerabilità di qualsiasi altra applicazione esposta a internet.
Da leggere ora: 430.000 firewall come linea di rifornimento ransomware | CitrixBleed torna, sfruttato in meno di un giorno



