Wat CISA toevoegde, en waarom het een primeur is

CISA voegde CVE-2026-55255, een toegangsfout in het visuele Langflow-framework om AI-agenten te bouwen, toe aan zijn catalogus van actief misbruikte kwetsbaarheden en droeg Amerikaanse federale instanties op het binnen dagen te patchen. Het defect is een onveilige directe objectreferentie in het endpoint /api/v1/responses en treft elke versie voor 1.9.2: de autorisatie hing aan een door de gebruiker aangeleverde identificatie die de server nooit hercontroleerde, zodat een ingelogde gebruiker de flows van een ander kon aanroepen.

Wat deze vermelding opvallend maakt is niet de techniek maar de categorie. De catalogus registreert al lang besturingssystemen, netwerkapparatuur en bedrijfsservers onder actieve aanval; Langflow is het eerste platform om AI-agenten te bouwen dat ooit is toegevoegd. Dat is een markering: de gereedschapslaag waar bedrijven taalmodellen aan hun eigen systemen koppelen, geldt nu als levende, misbruikte infrastructuur, niet als een proeftuin.

Hoe een omzeiling gestolen sleutels werd

Het beveiligingsbedrijf Sysdig traceerde een echte campagne die liep van 22 tot 25 juni, waarin een operator CVE-2026-55255 ketende aan een tweede Langflow-lek, CVE-2026-33017, om bij flows van anderen te komen en de daarin opgeslagen geheimen eruit te trekken. De buit waren geen documenten of databaserijen; het waren inloggegevens - API-sleutels van aanbieders van grote taalmodellen en Amazon Web Services-sleutels, over tenantgrenzen heen weggehaald van gedeelde of vanaf internet bereikbare instanties.

Bij dat deel zouden eigenaren moeten stilstaan. Een agentbouwer bestaat om modellen, data en clouddiensten te verbinden, dus bewaart hij per ontwerp de sleutels die dat verbinden doen. Als de toegangscontrole faalt, krijgt de aanvaller geen beklad scherm; hij krijgt de sleutels die op jouw rekening worden gefactureerd, jouw modellen draaien en jouw cloud openen. De exploit maakte van een low-code gemakslaag een sleutelkluis met een kapot slot.

Waarom je low-code AI-stack nu aanvalsoppervlak is

De praktische les is dat agent- en automatiseringsbouwers kroonjuweel-inloggegevens bundelen als weinig andere hulpmiddelen, omdat elke connector die ze bieden een geheim nodig heeft om te werken. Zelf hosten neutraliseert dat niet; een vanaf internet bereikbare instantie een versie achter de patch is genoeg, en zulke hulpmiddelen komen in een experimenterend team vaak snel online, buiten de gebruikelijke toetsing. De schadestraal is elk systeem dat die opgeslagen sleutels kunnen bereiken.

Voor een Europese operator komt er een nalevingsrand bij. Onder NIS2 en DORA zijn het incident en de meldtermijn van jou, niet van de leverancier, als gelekte providersleutels fraude of een storing op jouw tenant mogelijk maken. De actie is dus onspectaculair en concreet: inventariseer elk agent- en automatiseringsplatform in gebruik, til Langflow naar 1.9.2 of hoger, beperk wie het kan bereiken en roteer elke LLM- en cloudsleutel die de instantie ooit bewaarde. Voeg deze hulpmiddelen daarna toe aan hetzelfde kwetsbaarheidsbeheer-ritme als elke andere internetgerichte applicatie.