美国CISA已证实,图像化LLM应用开发工具Langflow的远程程序代码执行漏洞CVE-2025-3248,已被实际用于攻击行动。Langflow是一套开源工具,支持以图形化方式设计大型语言模型流程,让开发者能通过拖放组件的方式,快速组合出可执行的人工智能代理流程,然而,其高弹性的设计也伴随着潜在风险,特别是在执行环境缺乏适当安全防护时,容易成为攻击目标。
安全公司Horizon3.ai研究人员进一步说明CVE-2025-3248的成因,是Langflow早期版本在处理程序代码验证时缺乏适当的安全管控。具体来说,攻击者可通过未加认证保护的API端点/api/v1/validate/code提交特定的Python函数码,并利用装饰器(Decorator)或默认参数中的表达式,在函数尚未执行时即触发任意程序代码的执行。
由于Langflow原本设计即允许用户修改与执行Python程序代码来控制人工智能组件,因此在缺乏沙箱或额外限制的情况,一旦认证机制设置不当,将导致攻击者可远程取得主机控制权。
研究人员指出,这类攻击可被用来打开反向Shell、读取环境变量,或取得系统账号等资讯,并可能作为后续横向移动或扩大攻击范围的起点。值得注意的是,虽然Langflow开发团队曾在社交媒体中说明,该工具默认不具沙箱机制,执行环境的安全应由用户自行负责,但实际部署情况显示,大量实例未采取基本防护,直接暴露于公开网络,进一步扩大了漏洞被滥用的风险。
此次漏洞影响自Langflow项目启动以来至1.2.x的所有版本,官方已于2025年3月底发布1.3.0版,将高风险的程序代码验证端点加上身份验证保护,并建议用户尽快升级。CISA则呼吁所有组织,尤其是将Langflow部署于网际网络环境的组织,务必立即检查并限制可访问的端点,或改以虚拟私有云方式进行隔离部署。
