#Künstliche Intelligenz · 3 Min. Lesezeit · Tim Rinkel

AI-ALARM! PraisonAI-Lücke CVE-2026-44338 wird JETZT binnen VIER STUNDEN attackiert — und DEIN Agenten-Endpunkt steht offen wie ein Scheunentor

AI-ALARM! PraisonAI-Lücke CVE-2026-44338 wird JETZT binnen VIER STUNDEN attackiert — und DEIN Agenten-Endpunkt steht offen wie ein Scheunentor

Wer mit dem Open-Source-Agenten-Framework PraisonAI arbeitet, hat ein akutes Problem: Die Schwachstelle CVE-2026-44338 deaktiviert die Authentifizierung der Legacy-API per Default — und Angreifer waren binnen vier Stunden nach Veröffentlichung auf der Spur.

WAS PASSIERT IST: Legacy-Flask-API ohne Token

PraisonAI bringt einen Legacy-Flask-API-Server mit, der per Default mit AUTH_ENABLED = False und AUTH_TOKEN = None startet. Wer den Server hochfährt und am Netz exponiert, lässt damit jede beliebige Person die Endpunkte /agents und /chat aufrufen — ohne jegliche Authentifizierung. Angreifer können fremde Agenten triggern, Workflows ausführen und teure KI-API-Quoten leerlaufen lassen.

RAPID EXPLOITATION: Vier Stunden bis zum ersten Scan

Das Advisory wurde am 11. Mai 2026 um 13:56 UTC veröffentlicht. Schon um 17:40 UTC desselben Tages — knappe vier Stunden später — erschien der erste Scanner («CVE-Detector/1.0») in Logs internetexponierter Instanzen. Das ist ein neuer Trend: KI-Frameworks geraten nahezu in Echtzeit ins Visier.

WER BETROFFEN IST: Versionen 2.5.6 bis 4.6.33

Alle Versionen des Python-Pakets praisonai von 2.5.6 bis 4.6.33 sind verwundbar. Wer den Legacy-API-Server nutzt — egal ob lokal, in der Cloud oder via Docker — sollte sofort handeln.

WAS DU JETZT TUN MUSST: Update auf 4.6.34

Update auf PraisonAI 4.6.34 — die Maintainer haben dort die unsicheren Defaults gefixt. Wer nicht sofort updaten kann, sollte den Legacy-API-Port hinter eine Firewall setzen, einen Reverse-Proxy mit Auth davorhängen oder die Legacy-API komplett deaktivieren. Cloud-Workloads: prüfe deine Logs der letzten 14 Tage auf verdächtige Anfragen an /agents und /chat.

FAZIT: Open-Source-AI braucht harte Defaults

Der Fall PraisonAI zeigt: AI-Frameworks werden binnen Stunden zur Beute — und Defaults wie «Auth aus» haben in 2026 nichts mehr zu suchen. Wer ein KI-Framework deployt, sollte Authentifizierung als Pflicht behandeln, nicht als Option.

Häufige Fragen

Welche Versionen sind betroffen?
PraisonAI Python-Package in Versionen 2.5.6 bis 4.6.33. Behoben ist die Lücke in 4.6.34.
Wie merke ich, ob mein System verwundbar ist?
Wenn die PraisonAI-Legacy-API auf einem öffentlich erreichbaren Port läuft und du keine eigene Authentifizierung davorgeschaltet hast, bist du verwundbar. Kurz-Check: curl http://<host>:<port>/agents — kommt eine Antwort ohne Token, ist die Sache klar.
Wie behebe ich das Problem konkret?
pip install --upgrade praisonai==4.6.34 oder höher. Anschließend Service neu starten und prüfen, dass AUTH_ENABLED auf True steht.
Gab es schon aktive Angriffe?
Ja — der erste Scanner («CVE-Detector/1.0») lief bereits vier Stunden nach Veröffentlichung. Internetexponierte Instanzen sollten ihre Logs prüfen.
Warum sind KI-Frameworks so beliebt bei Angreifern?
Weil sie Zugriff auf teure API-Keys (OpenAI, Anthropic), oft auf Datenbanken und auf interne Tooling-Endpunkte bieten — und sich bezahlte Quoten leerlaufen lassen.

Quellen

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert