何が起きたか
PraisonAI(pip パッケージ praisonaiagents)1.6.78 より前のバージョンでは、Agent を構築する際にプロジェクトローカルの .praisonai/config.toml からデフォルトを自動的に読み込み、defaults.output.output_file パスを検証しません。リポジトリ制御の設定ファイルは output_file を絶対パスまたは '../' トラバーサルパスに設定でき、開発者が agent.start() を呼び出したときに使用されます。
なぜ重要か
リポジトリの設定ファイル(悪意のある PR またはサプライチェーン貢献など)に影響を与えることができる攻撃者は、被害者開発者がエージェントを実行するときに、PraisonAI エージェントが意図したプロジェクトディレクトリの外の任意のファイルシステムの場所に出力を書き込ませることができます。
攻撃経路
リポジトリ内の悪意のある .praisonai/config.toml が output_file を絶対パスまたはトラバーサルパスに設定し、開発者が agent.start() を実行するときに悪用されます。
影響を受けるシステム
PraisonAI(pip パッケージ praisonaiagents)< 1.6.78
緩和策
PraisonAI ≥1.6.78 にアップグレードしてください。信頼できないリポジトリに対してエージェントを実行する前に、リポジトリローカルの設定ファイルを確認してください。