何が起きたか
PraisonAIのCall APIエージェント呼び出しエンドポイントは、auth-disabledセーフガードがlocalhostへのアクセスを制限することを意図していたにもかかわらず、バインドホスト導出ロジックの不正により、リモートからアクセス可能であった。
なぜ重要か
これにより、localhostのみのセーフガードによって保護されていると信じていたデプロイメントで、認証なしでPraisonAIエージェントのリモート呼び出しが可能になり、エージェント機能および接続されているすべてのツール/データがオープンネットワークに公開される。
攻撃経路
disabled-authオプトアウトをlocalhostバインディングに制限することを意図したセーフガードが、バインドホストを誤って導出したため、オペレータがdisabled-authモードがlocalhostのみと信じていた場合でも、エージェント呼び出しエンドポイントはネットワーク経由でアクセス可能なままであった。
影響を受けるシステム
PraisonAI 4.6.78より前のバージョン
緩和策
PraisonAI 4.6.78以降にアップグレードしてください。ネットワーク公開デプロイメントではPRAISONAI_CALL_AUTH=disabledを避けてください。