O que a CISA adicionou, e porque é uma primeira vez
A CISA adicionou a CVE-2026-55255, um erro de controlo de acesso no framework visual Langflow para criar agentes de IA, ao seu catálogo de vulnerabilidades exploradas conhecidas e ordenou às agências federais dos EUA que a corrigissem em dias. O defeito é uma referência direta a objetos insegura no endpoint /api/v1/responses, afetando toda a versão anterior a 1.9.2: a autorização dependia de um identificador fornecido pelo utilizador que o servidor nunca voltava a verificar, pelo que um utilizador autenticado podia invocar os fluxos de outro.
O que torna esta entrada notável não é a mecânica, mas a categoria. O catálogo regista há muito sistemas operativos, equipamentos de rede e servidores empresariais sob ataque ativo; o Langflow é a primeira plataforma de criação de agentes de IA alguma vez adicionada. É um marco: a camada de ferramentas onde as empresas ligam modelos de linguagem aos seus próprios sistemas é agora tratada como infraestrutura viva e explorada, não como um ambiente de testes.
Como uma evasão se tornou chaves roubadas
A empresa de segurança Sysdig reconstituiu uma campanha real que decorreu de 22 a 25 de junho, na qual um operador encadeou a CVE-2026-55255 com uma segunda falha do Langflow, a CVE-2026-33017, para alcançar fluxos que não lhe pertenciam e extrair os segredos guardados neles. O espólio não eram documentos nem linhas de base de dados; eram credenciais - chaves de API de fornecedores de grandes modelos de linguagem e chaves da Amazon Web Services, retiradas através de fronteiras de inquilino em instâncias partilhadas ou acessíveis pela internet.
É nessa parte que os proprietários se deveriam deter. Um criador de agentes existe para ligar modelos, dados e serviços de nuvem, por isso, por conceção, guarda as chaves que fazem essa ligação. Quando a verificação de acesso falha, o atacante não obtém uma página desfigurada; obtém as chaves que são faturadas à sua conta, executam os seus modelos e abrem a sua nuvem. A exploração transformou uma camada de conveniência de baixo código num cofre de chaves com a fechadura partida.
Porque a sua pilha de IA de baixo código já é superfície de ataque
A lição prática é que os criadores de agentes e de automação concentram credenciais críticas como poucas ferramentas, porque cada conector que oferecem precisa de um segredo para funcionar. Alojar por conta própria não neutraliza isso; basta uma instância acessível pela internet uma versão atrás da correção, e estas ferramentas sobem muitas vezes depressa numa equipa que experimenta, fora da revisão habitual. O raio de dano é cada sistema que essas chaves guardadas conseguem alcançar.
Para um operador europeu há ainda um gume de conformidade. Com a NIS2 e a DORA, se chaves de fornecedor vazadas permitirem fraude ou uma interrupção no seu inquilino, o incidente e o seu relógio de notificação são seus, não do fornecedor. Por isso a ação é pouco vistosa e concreta: inventarie cada plataforma de agentes e automação em uso, suba o Langflow para a 1.9.2 ou superior, limite quem lhe pode chegar e rode todas as chaves de LLM e de nuvem que a instância alguma vez guardou. Depois, integre estas ferramentas no mesmo ritmo de gestão de vulnerabilidades de qualquer outra aplicação exposta à internet.
Leia a seguir: 430.000 firewalls viraram linha de ransomware | CitrixBleed regressa, explorado em menos de um dia



