Исследователи кибербезопасности выявили активную эксплуатацию критической уязвимости максимального уровня опасности в Flowise — популярной платформе с открытым исходным кодом для создания ИИ-агентов и рабочих процессов. Уязвимость, получившая идентификатор CVE-2025-59528 и высший балл CVSS 10.0, представляет собой инъекцию кода, позволяющую неаутентифицированным злоумышленникам выполнять произвольные команды на уязвимых системах удалённо. По данным VulnCheck, проблема кроется в узле CustomMCP (Model Context Protocol) платформы, который предназначен для ввода пользователями настроек подключения к внешним ИИ-моделям и сервисам. Внедряя вредоносный код в эти поля конфигурации, злоумышленники могут обходить средства защиты и получать полный контроль над базовым сервером.
Масштаб угрозы значителен: интернет-сканирование выявило более 12 000 публично доступных экземпляров Flowise по всему миру. Значительная часть этих развёртываний считается уязвимой, что создаёт обширную поверхность для атак. Эксплуатация уязвимости проста и не требует аутентификации, что снижает порог входа даже для менее опытных злоумышленников. Успешная компрометация может привести к краже данных, развёртыванию программ-вымогателей, установке майнеров криптовалюты или созданию постоянного плацдарма в сети организации для дальнейшего перемещения. Учитывая, что Flowise часто используется для работы с конфиденциальными ИИ-процессами и данными, нарушение может раскрыть проприетарные модели, обучающие данные и внутреннюю бизнес-логику.
Организациям, использующим Flowise, настоятельно рекомендуется немедленно принять меры. Основным способом устранения угрозы является обновление до последней исправленной версии, выпущенной командой разработчиков Flowise. Для экземпляров, которые нельзя обновить немедленно, администраторам следует внедрить строгие правила сетевого доступа, обеспечив, чтобы приложение Flowise не было доступно из публичного интернета, а только из защищённой внутренней сети или через VPN. Кроме того, критически важно проверять системные журналы на предмет необычной активности или несанкционированных попыток доступа, связанных с узлом CustomMCP. Этот инцидент подчёркивает повышенные риски безопасности, связанные с быстрым внедрением инструментов оркестрации генеративного ИИ и больших языковых моделей, которые часто становятся целями высокой ценности.
Активная эксплуатация CVE-2025-59528 служит stark напоминанием об ответственности за безопасность, которая сопровождает развёртывание ПО с открытым исходным кодом, особенно в быстрорастущей сфере ИИ. Хотя такие инструменты демократизируют разработку ИИ, они также создают сложные векторы атак, которые могут быть упущены при быстром развёртывании. Командам безопасности необходимо интегрировать управление уязвимостями и проактивный поиск угроз в жизненный цикл своих ИИ-инструментов, относясь к этим платформам с той же строгостью, что и к любым приложениям, доступным из интернета. По мере углубления интеграции ИИ можно ожидать, что как защитники, так и злоумышленники продолжат фокусироваться на безопасности инфраструктуры, которая обеспечивает работу и оркестрацию этих интеллектуальных систем.
