Er zijn bedreigingsactoren waargenomen die proberen misbruik te maken van een onlangs onthuld beveiligingsprobleem in PraisonAIeen open-source multi-agent orkestratieframework, binnen vier uur na openbaarmaking.
De kwetsbaarheid in kwestie is CVE-2026-44338 (CVSS-score: 7,3), een geval van ontbrekende authenticatie waardoor gevoelige eindpunten voor iedereen zichtbaar worden, waardoor een aanvaller mogelijk de beschermde functionaliteit van de API-server kan aanroepen zonder een token.
“PraisonAI levert een oudere Flask API-server waarbij authenticatie standaard is uitgeschakeld”, aldus een advies dat eerder deze maand door de beheerders werd uitgebracht. “Wanneer die server wordt gebruikt, kan elke beller die deze kan bereiken toegang krijgen tot /agents en de geconfigureerde agents.yaml-workflow activeren via /chat zonder een token op te geven.”
Met name de oudere, op Flask gebaseerde API-server, src/praisonai/api_server.py, hardcodes AUTH_ENABLED = False en AUTH_TOKEN = Geen. Volgens PraisonAI kan een succesvolle exploitatie van de fout uiteenlopende gevolgen hebben, waaronder:
- Niet-geverifieerde opsomming van het geconfigureerde agentbestand via /agents
- Niet-geverifieerde activering van de lokaal geconfigureerde “agents.yaml”-workflow via /chat
- Herhaaldelijk verbruik van het model/API-quotum, en
- Blootstelling van de resultaten van PraisonAI.run() aan de niet-geverifieerde aanroeper
“De impact hangt daarom af van wat agents.yaml van de operator mag doen, maar de authenticatie-bypass is onvoorwaardelijk op de geleverde oudere server”, aldus PraisonAI.
De kwetsbaarheid treft alle versies van het Python-pakket van 2.5.6 tot en met 4.6.33. Het is gepatcht in versie 4.6.34. Beveiligingsonderzoeker Shmulik Cohen wordt gecrediteerd voor het ontdekken en rapporteren van de bug.
In een rapport dat deze week door Sysdig werd gepubliceerd, zei het cloudbeveiligingsbedrijf dat het pogingen had waargenomen om de fout te misbruiken binnen enkele uren nadat deze publiekelijk bekend werd.
“Binnen drie uur en 44 minuten nadat het advies openbaar werd gemaakt, onderzocht een scanner die zichzelf identificeerde als CVE-Detector/1.0 het exacte kwetsbare eindpunt op op internet blootgestelde instanties”, aldus het rapport. “Het advies werd gepubliceerd (op 11 mei 2026) om 13:56 UTC. Het eerste gerichte verzoek kwam dezelfde dag om 17:40 UTC binnen.”
De activiteit was volgens Sysdig afkomstig van het IP-adres 146.190.133(.)49 en volgde een pakketscannerprofiel dat twee passages uitvoerde met een tussenpoos van acht minuten, waarbij elke passage ongeveer 70 verzoeken in ongeveer 50 seconden doorstuurde.
Terwijl de eerste doorgang generieke openbaarmakingspaden scande (/.env, /admin, /users/sign_in, /eval, /calculate, /Gemfile.lock), selecteerde de tweede doorgang specifiek AI-agent-oppervlakken, waaronder PraisonAI.
“De probe die rechtstreeks overeenkwam met CVE-2026-44338 was een enkele GET /agents zonder Authorization-header en User-Agent CVE-Detector/1.0”, aldus Sysdig. “Dat verzoek retourneert 200 OK met de hoofdtekst {“agent_file”:agents.yaml”,”agents”:(…)}, wat bevestigt dat de bypass succesvol was.”
Er is vastgesteld dat de scanner tijdens geen van beide passages een POST-verzoek naar het “/chat”-eindpunt verzendt, wat aangeeft dat de activiteit consistent is met een eerste controle om te bepalen of de auth-bypass werkt en om te bevestigen of de host kan worden misbruikt via CVE-2026-44338.
De snelle exploitatie van PraisonAI is het nieuwste voorbeeld van een bredere trend waarbij bedreigingsactoren steeds vaker nieuw onthulde tekortkomingen in hun arsenaal opnemen voordat ze kunnen worden gepatcht. Gebruikers wordt geadviseerd om zo snel mogelijk de nieuwste oplossingen toe te passen, bestaande implementaties te controleren, de facturering van de modelprovider te controleren op verdachte activiteiten en de inloggegevens waarnaar wordt verwezen in “agents.yaml”, te rouleren.
“De tooling van tegenstanders is uitgebreid naar het hele AI- en agent-ecosysteem – ongeacht de grootte, en niet alleen de bekende namen – en de operationele veronderstelling voor elk project dat een niet-geverifieerde standaard levert, moet zijn dat het tijdsbestek tussen openbaarmaking en actieve exploitatie wordt gemeten in uren van één cijfer”, aldus Sysdig.
