由于Langflow原本设计即允许使用者修改与执行Python程式码来控制人工智慧元件,因此在缺乏沙箱或额外限制的情况,一旦认证机制设定不当,将导致攻击者可远端取得主机控制权。
研究人员指出,这类攻击可被用来开启反向Shell、读取环境变数,或取得系统帐号等资讯,并可能作为后续横向移动或扩大攻击范围的起点。值得注意的是,虽然Langflow开发团队曾在社群中说明,该工具预设不具沙箱机制,执行环境的安全应由使用者自行负责,但实际部署情况显示,大量实例未采取基本防护,直接曝露于公开网路,进一步扩大了漏洞被滥用的风险。
此次漏洞影响自Langflow专案启动以来至1.2.x的所有版本,官方已于2025年3月底释出1.3.0版,将高风险的程式码验证端点加上身分验证保护,并建议用户尽快升级。CISA则呼吁所有组织,尤其是将Langflow部署于网际网路环境的组织,务必立即检查并限制可存取的端点,或改以虚拟私有云方式进行隔离部署。