Vad CISA lade till, och varför det är en första gång
CISA lade till CVE-2026-55255, ett åtkomstfel i det visuella Langflow-ramverket för att bygga AI-agenter, i sin katalog över kända utnyttjade sårbarheter och beordrade amerikanska federala myndigheter att åtgärda det inom dagar. Defekten är en osäker direkt objektreferens i slutpunkten /api/v1/responses och drabbar varje version före 1.9.2: behörigheten hängde på en användarlämnad identifierare som servern aldrig kontrollerade igen, så en inloggad användare kunde anropa en annan användares flöden.
Det anmärkningsvärda med denna post är inte mekaniken utan kategorin. Katalogen har länge registrerat operativsystem, nätverksutrustning och företagsservrar under aktiv attack; Langflow är den första plattformen för att bygga AI-agenter som någonsin lagts till. Det är en milstolpe: verktygslagret där företag kopplar språkmodeller till sina egna system behandlas nu som levande, utnyttjad infrastruktur, inte som en sandlåda.
Hur en förbigång blev stulna nycklar
Säkerhetsföretaget Sysdig spårade en verklig kampanj som pågick från 22 till 25 juni, där en aktör kedjade CVE-2026-55255 med ytterligare en Langflow-brist, CVE-2026-33017, för att nå flöden de inte ägde och dra ut hemligheterna som låg lagrade i dem. Bytet var inte dokument eller databasrader; det var inloggningar - API-nycklar från leverantörer av stora språkmodeller och Amazon Web Services-nycklar, tagna över hyresgästgränser på delade eller internet-nåbara instanser.
Det är den delen ägare bör stanna vid. En agentbyggare finns för att koppla samman modeller, data och molntjänster, så den lagrar per design nycklarna som gör den kopplingen. När åtkomstkontrollen sviktar får angriparen ingen skändad sida; han får nycklarna som faktureras till ditt konto, kör dina modeller och öppnar ditt moln. Utnyttjandet förvandlade ett low-code bekvämlighetslager till ett nyckelvalv med trasigt lås.
Varför din low-code AI-stack nu är angreppsyta
Den praktiska läxan är att agent- och automationsbyggare koncentrerar kronjuvel-inloggningar som få andra verktyg, eftersom varje kontakt de erbjuder behöver en hemlighet för att fungera. Egen drift neutraliserar inte det; en internet-nåbar instans en version efter patchen räcker, och sådana verktyg går ofta upp snabbt i ett team som experimenterar, utanför den vanliga granskningen. Skaderadien är varje system som de lagrade nycklarna kan nå.
För en europeisk operatör finns även en efterlevnadskant. Under NIS2 och DORA är händelsen och dess rapporteringsklocka dina, inte leverantörens, om läckta leverantörsnycklar möjliggör bedrägeri eller ett avbrott på din hyresgäst. Åtgärden är därför oglamorös och konkret: inventera varje agent- och automationsplattform i bruk, lyft Langflow till 1.9.2 eller senare, begränsa vem som kan nå den och rotera varje LLM- och molnnyckel som instansen någonsin haft. Foga sedan in dessa verktyg i samma sårbarhetshanterings-rytm som varje annan internetvänd applikation.
Läs vidare: 430.000 brandväggar blev en ransomware-tillförsel | CitrixBleed är tillbaka, utnyttjad inom en dag



