Atores maliciosos já foram observados tentando explorar uma vulnerabilidade de segurança divulgada recentemente no PraisonAI, um framework open source de orquestração multiagente, em até quatro horas após a divulgação pública.
A falha é a
CVE-2026-44338
, com pontuação CVSS 7,3, e se trata de uma ausência de autenticação que expõe endpoints sensíveis a qualquer pessoa.
Na prática, isso pode permitir que um invasor acione funções protegidas do servidor de API sem fornecer token.
“PraisonAI inclui um servidor legado de API em Flask com autenticação desativada por padrão”, informaram os mantenedores em um comunicado publicado no início deste mês.
“Quando esse servidor é usado, qualquer solicitante que consiga alcançá-lo pode acessar /agents e acionar o fluxo de trabalho configurado em agents.yaml por meio de /chat, sem fornecer um token.”
De forma específica, o servidor legado baseado em Flask, src/praisonai/api_server.py, define diretamente AUTH_ENABLED = False e AUTH_TOKEN = None.
Segundo o PraisonAI, a exploração bem-sucedida da falha pode causar impactos variados, incluindo:
- enumeração sem autenticação do arquivo de agentes configurado por meio de /agents;
- acionamento sem autenticação do fluxo de trabalho local configurado em agents.yaml por meio de /chat;
- consumo repetido da cota do modelo/API;
- exposição dos resultados de PraisonAI.run() ao solicitante não autenticado.
“O impacto, portanto, depende do que os agentes definidos em agents.yaml podem fazer, mas a omissão de autenticação no servidor legado distribuído é incondicional”, afirmou o PraisonAI.
A vulnerabilidade afeta todas as versões do pacote em Python da 2.5.6 até a 4.6.33.
O problema foi corrigido na versão 4.6.34.
O pesquisador de segurança Shmulik Cohen recebeu os créditos pela descoberta e pelo reporte do bug.
Em relatório publicado pela Sysdig nesta semana, a empresa de segurança em cloud afirmou ter observado tentativas de exploração da falha poucas horas depois de ela se tornar pública.
“Em três horas e 44 minutos após o comunicado ser divulgado, um scanner que se identificava como CVE-Detector/1.0 já estava sondando exatamente o endpoint vulnerável em instâncias expostas à internet”, informou a empresa.
“O comunicado foi publicado [em 11 de maio de 2026], às 13:56 UTC.
A primeira requisição direcionada chegou às 17:40 UTC do mesmo dia.”
Segundo a Sysdig, a atividade partiu do endereço IP 146.190.133[.]49 e seguiu um perfil de scanner empacotado, com duas passagens separadas por oito minutos, cada uma gerando cerca de 70 requisições em aproximadamente 50 segundos.
Na primeira passagem, o scanner buscou caminhos genéricos de divulgação, como /.env, /admin, /users/sign_in, /eval, /calculate e /Gemfile.lock.
Na segunda, a varredura mirou especificamente superfícies de agentes de IA, incluindo o PraisonAI.
“A sondagem que correspondeu diretamente à
CVE-2026-44338
foi um único GET /agents sem cabeçalho Authorization e com User-Agent CVE-Detector/1.0”, disse a Sysdig.
“Essa requisição retorna 200 OK com o corpo {"agent_file":"agents.yaml","agents":[...]}, confirmando que o bypass foi bem-sucedido.”
O scanner não foi visto enviando nenhuma requisição POST ao endpoint /chat em nenhuma das passagens, o que indica que a atividade é compatível com uma verificação inicial para confirmar se a autenticação realmente pode ser burlada e se o host é explorável por meio da
CVE-2026-44338
.
A exploração rápida do PraisonAI é mais um exemplo de uma tendência mais ampla, na qual threat actors incorporam falhas recém-divulgadas ao seu arsenal antes mesmo da aplicação dos patches.
A orientação aos usuários é aplicar as correções mais recentes o quanto antes, auditar implantações já existentes, revisar a cobrança dos provedores de modelo em busca de qualquer atividade suspeita e rotacionar credenciais referenciadas em agents.yaml.
“As ferramentas dos adversários já escalonaram para todo o ecossistema de IA e agentes, independentemente do porte e não apenas dos nomes mais conhecidos.
A suposição operacional para qualquer projeto que seja distribuído com autenticação desativada por padrão deve ser que a janela entre a divulgação e a exploração ativa é medida em poucas horas”, afirmou a Sysdig.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...