Четыре часа от обнаружения до взлома. Хакеры установили новый рекорд скорости атаки на нейросети

Хакеры начали искать уязвимые серверы PraisonAI менее чем через четыре часа после публикации информации об ошибке безопасности. Автоматический сканер с названием CVE-Detector/1.0 атаковал открытые экземпляры платформы почти сразу после выхода предупреждения, а специалисты Sysdig уже называют подобную скорость новой нормой для атак на проекты с искусственным интеллектом.

Проблему обнаружили в PraisonAI, открытой платформе для управления ИИ-агентами с более чем 7 тысячами звёзд на GitHub. Уязвимость получила идентификатор CVE-2026-44338. Опасность скрывалась в старом серверном модуле api_server.py, где разработчики по умолчанию отключили проверку подлинности. Из-за такой настройки любой пользователь мог обращаться к двум защищённым маршрутам без токена доступа.

Первый запрос к уязвимому пути поступил через 3 часа 44 минуты после публикации предупреждения GitHub. Сначала сканер проверял стандартные файлы и панели управления вроде /.env и /admin, а затем переключился на маршруты, связанные с PraisonAI. Среди них были /agents, /api/agents и /api/tasks.

Компания GitHub опубликовала предупреждение 11 мая 2026 года в 13:56 по всемирному времени. Уже в 17:40 специалисты Sysdig зафиксировали запрос GET /agents от IP-адреса 146.190.133.49 с заголовком User-Agent: CVE-Detector/1.0. Сервер ответил кодом 200 OK и раскрыл данные о конфигурации агентов, подтвердив успешную эксплуатацию уязвимости.

Опасность CVE-2026-44338 связана не столько с удалённым выполнением кода, сколько с возможностью запускать рабочие процессы ИИ-агентов без авторизации. Запрос POST /chat активирует сценарий, прописанный в файле agents.yaml, независимо от содержимого сообщения. Если администратор настроил агентам доступ к командной строке, файловой системе, сетевым запросам или сторонним сервисам, злоумышленник получает возможность запускать все эти действия удалённо.

Sysdig сообщает, что подобные атаки уже становятся массовыми. Ранее аналогичную активность фиксировали после публикации уязвимостей в Marimo, LMDeploy и Langflow. Специалисты связывают рост скорости атак с использованием искусственного интеллекта, который помогает злоумышленникам быстро анализировать исправления, находить причину ошибки и генерировать рабочие эксплойты за считанные минуты.

Уязвимыми оказались версии PraisonAI с 2.5.6 по 4.6.33 включительно. Исправление выпустили в версии 4.6.34. На момент публикации предупреждения в репозитории PyPI последней доступной версией оставалась именно 4.6.33, поэтому все актуальные установки платформы оставались открытыми для атак.

Во время сканирования злоумышленники также проверяли файлы pyproject.toml, poetry.lock и praisonai/version.txt, чтобы определить установленную версию платформы. Кроме того, атакующие искали маршруты, связанные с серверами MCP и внутренними инструментами ИИ-агентов.

Sysdig рекомендует срочно обновить PraisonAI минимум до версии 4.6.34, отказаться от старого api_server.py и не публиковать порт 8080 в интернете. Владельцам серверов также советуют проверить журналы на наличие User-Agent CVE-Detector/1.0, сменить учётные данные, указанные в agents.yaml, и проанализировать расходы на сервисы OpenAI, Anthropic и других поставщиков ИИ-моделей после 11 мая 2026 года.