Co CISA dodała i dlaczego to pierwszy raz
CISA dodała CVE-2026-55255, błąd kontroli dostępu w wizualnym frameworku Langflow do budowy agentów AI, do swojego katalogu znanych wykorzystywanych podatności i nakazała amerykańskim agencjom federalnym naprawić ją w ciągu dni. Wada to niebezpieczne bezpośrednie odwołanie do obiektu w punkcie końcowym /api/v1/responses, dotyczące każdej wersji starszej niż 1.9.2: autoryzacja zależała od identyfikatora podanego przez użytkownika, którego serwer nigdy nie sprawdzał ponownie, więc zalogowany użytkownik mógł wywołać przepływy innego.
Tym, co czyni ten wpis wartym uwagi, nie jest mechanika, lecz kategoria. Katalog od dawna rejestruje systemy operacyjne, sprzęt sieciowy i serwery firmowe pod aktywnym atakiem; Langflow to pierwsza platforma do budowy agentów AI, jaką kiedykolwiek dodano. To znak: warstwa narzędziowa, w której firmy podpinają modele językowe do własnych systemów, jest teraz traktowana jako żywa, wykorzystywana infrastruktura, nie piaskownica.
Jak obejście stało się skradzionymi kluczami
Firma bezpieczeństwa Sysdig prześledziła prawdziwą kampanię, która trwała od 22 do 25 czerwca, w której operator połączył CVE-2026-55255 z drugą luką Langflow, CVE-2026-33017, by dotrzeć do cudzych przepływów i wyciągnąć przechowywane w nich sekrety. Łupem nie były dokumenty ani wiersze bazy danych; były to poświadczenia - klucze API dostawców dużych modeli językowych i klucze Amazon Web Services, zabrane ponad granicami najemcy na współdzielonych lub dostępnych z internetu instancjach.
To przy tej części właściciele powinni się zatrzymać. Kreator agentów istnieje po to, by łączyć modele, dane i usługi chmurowe, więc z założenia przechowuje klucze, które to łączenie wykonują. Gdy kontrola dostępu zawodzi, napastnik nie dostaje zdefacowanej strony; dostaje klucze rozliczane na twoje konto, uruchamiające twoje modele i otwierające twoją chmurę. Wykorzystanie zamieniło wygodną warstwę low-code w sejf na klucze z zepsutym zamkiem.
Dlaczego twój low-code stos AI to teraz powierzchnia ataku
Praktyczna lekcja jest taka, że kreatory agentów i automatyzacji skupiają najcenniejsze poświadczenia jak mało które narzędzia, bo każdy oferowany złącznik potrzebuje sekretu, by działać. Samodzielny hosting tego nie neutralizuje; wystarczy instancja dostępna z internetu jedną wersję za łatką, a takie narzędzia często szybko wstają w eksperymentującym zespole, poza zwykłym przeglądem. Promień rażenia to każdy system, do którego te przechowywane klucze mogą sięgnąć.
Dla europejskiego operatora dochodzi krawędź zgodności. Na mocy NIS2 i DORA, jeśli wyciekniete klucze dostawcy umożliwią oszustwo lub awarię na twoim najemcy, incydent i jego zegar zgłoszenia są twoje, nie dostawcy. Działanie jest więc mało efektowne i konkretne: zinwentaryzuj każdą używaną platformę agentów i automatyzacji, podnieś Langflow do 1.9.2 lub nowszej, ogranicz, kto może do niej dotrzeć, i rotuj każdy klucz LLM i chmury, który instancja kiedykolwiek przechowywała. Następnie włącz te narzędzia w ten sam rytm zarządzania podatnościami co każda inna aplikacja wystawiona na internet.
Czytaj dalej: 430 000 zapór stało się linią zasilania ransomware | CitrixBleed wraca, wykorzystany w ciągu doby



