Pogingen om een recent ontdekte kwetsbaarheid in PraisonAI te misbruiken begonnen minder dan vier uur na de publieke bekendmaking, waarschuwt applicatiebeveiligingsbedrijf Sysdig. PraisonAI is een multi-agent framework waarmee organisaties autonome AI-agenten kunnen inzetten voor complexe taken. De kwetsbaarheid, geregistreerd als CVE-2026-44338, zit in versies 2.5.6 tot en met 4.6.33 van PraisonAI, die een verouderde Flask API-server bevatten waarbij authenticatie standaard was uitgeschakeld.

Volgens een NIST advisory kan elke gebruiker die toegang heeft tot de server zonder token de endpoint /agents benaderen en via /chat het agents.yaml-workflow activeren. De /agents endpoint geeft dan metadata van de geconfigureerde agenten terug, terwijl /chat elke JSON-bericht met een message-key accepteert en het workflow uitvoert, ongeacht de inhoud van het bericht.

Sysdig meldt dat binnen drie uur en 44 minuten na publicatie van de advisory een scanner met de naam CVE-Detector/1.0 de kwetsbare endpoint op internet-blootgestelde systemen begon te scannen. Deze activiteit bestond uit twee scansessies met elk ongeveer 70 verzoeken binnen 50 seconden. De eerste scan richtte zich op algemene bekende paden, de tweede op AI-agent gerelateerde endpoints. De scanner richtte zich alleen op /agents en stuurde geen verzoeken naar /chat, wat wijst op verkenning en validatie in plaats van actieve exploitatie.

Hoewel de kwetsbaarheid een authenticatie-omzeiling mogelijk maakt, is het volgens Sysdig niet eenvoudig om hiermee remote code execution (RCE) te bereiken. De aanvaller kan alleen acties triggeren die in het agents.yaml-workflow zijn geconfigureerd. In productieomgevingen roept dit workflow doorgaans verschillende grote taalmodellen aan en geeft het toegang tot tools zoals code-interpreters, shells en bestands-I/O. De impact hangt dus af van wat het workflow toestaat, omdat de bypass alleen authenticatie verwijdert voor een workflowtrigger die bewust is blootgesteld.

De kwetsbaarheid is opgelost in PraisonAI versie 4.6.34. Organisaties wordt geadviseerd hun systemen zo snel mogelijk bij te werken. Volgens Vineeta Sangaraju, AI-onderzoeker bij Black Duck, versnelt AI-ondersteunde tooling het proces van advisories naar werkende exploits drastisch. Hierdoor is de tijd die organisaties hebben om te patchen, mitigeren of actieve scans te detecteren sterk verkort. Snelle exploitatie na openbaarmaking wordt steeds meer de norm in plaats van een uitzondering, wat traditionele risicomodellen achterhaald maakt.