ВСЕМ КОДАМ КОНЕЦ: КРИТИЧЕСКАЯ УЯЗВИМОСТЬ В AI-ИНСТРУМЕНТЕ ПОЗВОЛЯЕТ ЗАХВАТИТЬ ЛЮБОЙ СЕРВЕР
Прямо сейчас злоумышленники массово атакуют опаснейшую дыру в популярном платформе для создания AI-агентов Flowise. Речь идет об уязвимости CVE-2025-59528 с максимальным баллом риска 10.0. Это не просто баг, а полноценный пропуск в систему: через узел CustomMCP киберпреступники внедряют вредоносное ПО, получая полный контроль над сервером. Уже скомпрометированы более 12 000 экземпляров.
Фактически, это идеальный шторм для кибербезопасности: эксплуатация 0-day уязвимости в стремительно набирающем популярность open-source решении. Атака не требует особых навыков — готовый эксплойт уже гуляет по теневым форумам. Злоумышленники могут не только украсть данные, но и развернуть масштабную ransomware-атаку или организовать утечку данных.
«Ситуация катастрофическая, — заявил наш источник в группе реагирования на инциденты. — Уязвимость позволяет выполнить произвольный код, обходя все стандартные средства защиты. Многие компании, увлекшиеся искусственным интеллектом, даже не подозревают, что их инфраструктура уже скомпрометирована. Это вопрос часов, а не дней».
Почему это касается каждого? Потому что Flowise используют для автоматизации бизнес-процессов, включая работу с крипто-активами и смарт-контрактами. Взлом ставит под угрозу не только корпоративные секреты, но и безопасность блокчейна, если платформа интегрирована с подобными системами. Обычный фишинг отдыхает по сравнению с таким уровнем доступа.
Мы прогнозируем волну целенаправленных атак на финансовый и технологический сектор в ближайшие 72 часа. Когда у хакеров появляется ключ от тысяч дверей одновременно, они не будут стучаться вежливо.
Искусственный интеллект открыл новую эру — и первую же дверь для тотального цифрового погрома.
