취약점  ·  2026-07-13

PraisonAI 안전하지 않은 기본 구성은 인증 없이 에이전트 API를 노출합니다

취약점High 영향도GlobalCVE-2026-61426
PraisonAI의 기본 구성(1.7.3 이전 버전)은 모든 인터페이스 바인드와 와일드카드 CORS, API 키 적용 없음으로 인해 에이전트 지시사항/시스템 프롬프트를 노출하고 인증 없이 에이전트를 호출하도록 허용합니다.
인터넷에 노출된 기본 PraisonAI 배포는 독점 시스템 프롬프트를 유출하고 잠재적으로 권한이 있는 에이전트 작업의 인증되지 않은 호출을 허용합니다. 이는 에이전트 프레임워크에 대한 전형적인 안전하지 않은 기본 노출 패턴이며 기본 설치 전반에 걸쳐 의미 있는 영향 범위가 있습니다.
PraisonAI는 기본적으로 API 키 요구사항 없이 모든 네트워크 인터페이스에 바인드하고 와일드카드 CORS를 사용합니다. 인증되지 않은 공격자는 GET /api/agents를 호출하여 에이전트 지시사항 및 시스템 프롬프트를 읽거나 POST /api/chat를 호출하여 인증 없이 에이전트를 호출할 수 있습니다.
PraisonAI 1.7.3 이전
PraisonAI 1.7.3 이상으로 업그레이드하고, 배포 전에 인증을 명시적으로 구성하고 CORS/바인드 주소를 제한하십시오.
GitHub Security Advisory GHSA-6wjp-v33h-5cvqVulnCheck Advisory
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →