許多企業為了快速導入 AI 工作流工具來提升生產力,但如果這些工具直接暴露在公網且缺乏適當的安全設定,將成為攻擊者進入企業內網的絕佳跳板。近期 Trend Micro 發現了一起針對 Langflow 的攻擊活動,攻擊者利用一個嚴重的遠端程式碼執行漏洞,將受害伺服器轉化為加密貨幣挖礦機,並嘗試在內網橫向擴散。
什麼是 Langflow 與 RCE 漏洞
Langflow 是一個用於建構 AI 工作流的低程式碼視覺化界面,允許開發者快速將大型語言模型 LLM 與各種工具串接。然而,該工具被發現存在一個編號為 CVE-2026-33017 的高危險漏洞,其 CVSS 評分高達 9.3 分。
這個漏洞屬於 RCE 類型,即 Remote Code Execution 遠端程式碼執行。簡單來說,RCE 允許攻擊者在不需要任何帳號密碼的情況下,透過網路直接在目標伺服器上執行任意指令。對於工程師而言,這意味著攻擊者只要能存取你的 API 端點,就能像擁有伺服器最高權限一樣操控系統。
攻擊路徑:從單行程式碼到系統全面接管
這次攻擊的過程非常精簡且高效,可以分為以下幾個階段
初始進入與下載 攻擊者僅需在未經認證的 Langflow API 端點執行一行 Python 程式碼,即可觸發伺服器下載一個遠端 Shell 腳本。這個腳本扮演著 Dropper 掉落者的角色,負責檢查環境並下載真正的惡意執行檔 lambsys。
權限鞏固與防禦破壞 lambsys 是一個使用 Go 語言編寫的 ELF 執行檔。它的首要任務是清除所有障礙。它會嘗試關閉 Ubuntu 的防火牆 UFW、AppArmor、SELinux 以及雲端環境的監控代理程式。為了掩蓋行蹤,它會刪除系統日誌,並利用 chattr +i 屬性來鎖定關鍵系統檔案,防止其他管理員或競爭對手修改其設定。
排除競爭對手 有趣的是,這次的攻擊者具有強烈的領地意識。該木馬會主動搜尋並終止其他已知挖礦木馬如 Kinsing 或 WatchDog 的程序,並刪除對方的錢包資訊,確保伺服器的運算資源全部用於為攻擊者挖掘 Monero 貨幣。
內網橫向擴散 這是最危險的一環。木馬會掃描伺服器上儲存的 SSH 金鑰,嘗試利用這些金鑰登入同一網路內的其他主機。如果你的 AI 伺服器與生產環境共用金鑰,攻擊者將能迅速從一個暴露的 AI 應用端點,擴散到整個企業內網。
最終執行與地理優化 最後,木馬會下載 XMRig 挖礦程式。為了最大化挖礦效率,它會透過 ipinfo.io 獲取伺服器的公網 IP 與地理位置,從而選擇距離最近的挖礦池以降低延遲。
技術實務啟示:為什麼 AI 工具更容易被忽視
對於負責維運或開發的工程師來說,這次事件揭示了三個關鍵的安全盲點
第一,AI 工具的快速部署往往忽略了安全加固。許多團隊將 Langflow 等工具視為開發階段的實驗品,直接對外開放 API 而未配置認證機制,這給了 RCE 漏洞極大的發揮空間。
第二,權限過大的服務帳號。如果運行 AI 應用的帳號擁有過高的系統權限,或者伺服器上存放了不必要的 SSH 私鑰,一旦發生 RCE,攻擊者就能直接獲取 Root 權限並在內網橫向移動。
第三,對低頻率異常行為的監控不足。挖礦木馬雖然不會立即毀壞數據,但會造成 CPU 飆高與異常的外連流量。建立基礎的資源監控與網路出站流量限制(Egress Filtering)能有效降低此類風險。
總結與建議
面對 AI 基礎設施的威脅,建議採取以下措施:確保所有 AI 工作流工具均更新至最新版本以修補已知漏洞;絕對禁止將未經認證的 API 端點暴露在公網;實施最小權限原則,限制 AI 應用程式對系統檔案的訪問權限;定期審查伺服器上的 SSH 金鑰分發情況。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。