기술 설명
Obsidian Security 연구원들이 GitHub 스타 52,000개 이상을 보유한 오픈소스 AI 에이전트 워크플로우 플랫폼인 Flowise의 원클릭 원격 코드 실행 취약점을 공개했습니다. 근본 원인은 Custom MCP의 stdio 전송이 코드 실행 원시(primitive)라는 것입니다. 구성된 명령을 자식 프로세스로 생성합니다. 권한 있는 사용자가 제작된 chatflow 아티팩트를 가져오면 stdio MCP 구성이 즉시 처리되어 추가 사용자 상호작용 없이 자의적 서버 측 OS 명령 실행을 트리거합니다. Flowise Cloud는 stdio MCP가 비활성화되어 있으므로 영향을 받지 않습니다. Custom MCP를 사용하는 자체 호스팅 Flowise 설치가 영향을 받는 부분입니다.
공격 경로
공격자가 악의적 Flowise chatflow 내보내기(JSON 아티팩트)를 제작하고 권한 있는 사용자에게 일반 chatflow 가져오기 UI를 통해 이를 가져오도록 설득합니다. 워크플로우가 실행되기 전의 가져오기 단계만으로도 서버 측 실행이 트리거됩니다. 공격은 공유된 chatflow 링크, chatflow 템플릿의 공급망 손상, 또는 사회공학을 통해 전달될 수 있습니다.
영향받는 시스템
Custom MCP가 활성화된 자체 호스팅 Flowise 설치(stdio 전송). Flowise Cloud(flowise.ai 호스팅 서비스)는 명시적으로 영향을 받지 않습니다. 패치 전 Flowise 버전에 영향을 미칩니다. 정확한 버전 범위는 공급업체 공시를 확인하세요.
완화 방안
자체 호스팅 Flowise에서 stdio MCP 비활성화: `CUSTOM_MCP_PROTOCOL=sse` 설정(SSE 전송은 로컬 프로세스를 생성하지 않음). chatflow 가져오기를 신뢰할 수 있는 관리자만으로 제한합니다. Flowise 서버 프로세스를 호스트 파일시스템이나 자격증명 액세스가 없는 컨테이너에 격리합니다. Flowise Node.js 프로세스의 자식 프로세스 생성을 모니터링합니다. 공급업체 패치가 제공될 때 적용합니다.