무슨 일이 있었나
PraisonAI의 UI 모듈은 approval_mode를 'auto'로 하드코딩하여 관리자의 PRAISON_APPROVAL_MODE 환경 변수 설정을 무시합니다. 이는 인증된 모든 사용자가 LLM 에이전트에게 subprocess.run(shell=True)을 통해 임의의 셸 명령을 실행하도록 지시할 수 있음을 의미하며, 승인되지 않은 명령 실행을 방지하기 위해 설계된 수동 승인 게이트를 우회합니다. 2026-06-18 공개, CVSS 8.8 HIGH.
왜 중요한가
AI 에이전트 배포에서 승인 게이트는 에이전트의 파괴적 행동을 방지하는 주요 안전 제어입니다. 자동 승인 하드코딩은 셸 실행을 위한 관리자 구성 인적 감시(핵심 에이전트 보안 제어)를 완전히 무효화하여 인증된 모든 세션에서 횡적 이동, 데이터 유출 또는 전체 호스트 손상을 가능하게 합니다.
공격 경로
인증된 공격자가 UI를 통해 LLM 에이전트에게 셸 명령을 실행하도록 지시합니다. UI 모듈은 approval_mode=auto로 하드코딩되어 수동 승인을 요구하는 관리자 설정 PRAISON_APPROVAL_MODE 환경 변수를 재정의합니다. 에이전트는 불충분한 블로킹리스트 삭제를 사용하여 subprocess.run(shell=True)을 통해 명령을 실행합니다.
영향받는 시스템
PraisonAI < 4.5.128
완화 방안
PraisonAI 4.5.128 이상으로 업그레이드하세요. 권고사항: https://github.com/MervinPraison/PraisonAI/security/advisories/GHSA-qwgj-rrpj-75xm