技术说明
Obsidian Security 研究人员披露了 Flowise 中的一键远程代码执行漏洞,Flowise 是一个拥有 52,000+ GitHub 星标的开源 AI 代理工作流平台。根本原因是自定义 MCP 的 stdio 传输是一个代码执行原语 — 它将配置的命令作为子进程生成。当授权用户导入精心制作的聊天流工件时,stdio MCP 配置会立即处理,触发任意服务器端操作系统命令执行,无需任何额外的用户交互。Flowise Cloud 不受影响,因为那里禁用了 stdio MCP;使用自定义 MCP 的自托管 Flowise 安装是受影响的范围。
攻击途径
攻击者制作恶意的 Flowise 聊天流导出文件(JSON 工件),并说服授权用户通过正常的聊天流导入 UI 导入它。仅导入操作 — 在工作流运行之前 — 就会触发服务器端执行。攻击可以通过共享聊天流链接、聊天流模板的供应链妥协或社会工程来实施。
受影响系统
启用了自定义 MCP(stdio 传输)的自托管 Flowise 安装。Flowise Cloud(flowise.ai 托管服务)明确不受影响。影响补丁之前的 Flowise 版本;请检查供应商披露以了解确切的版本范围。
缓解措施
在自托管 Flowise 中禁用 stdio MCP:设置 `CUSTOM_MCP_PROTOCOL=sse`(SSE 传输不会生成本地进程)。仅限受信任的管理员进行聊天流导入。将 Flowise 服务器进程隔离在无法访问主机文件系统或凭据的容器中。监控来自 Flowise Node.js 进程的子进程生成。在供应商补丁可用时应用补丁。