駭客濫用Langflow漏洞與NATS訊息中介系統,竊取AI與雲端環境存取金鑰
漏洞背景與攻擊手法
3月底揭露的圖像化大型語言模型(LLM)開發工具Langflow重大漏洞CVE-2026-33017,近日出現新一波攻擊活動。資安廠商Sysdig發布報告指出,駭客正利用這項漏洞結合訊息中介系統NATS,構成新型攻擊手法,竊取AWS雲端憑證。
攻擊影響範圍與後續風險
一旦攻擊者成功利用Langflow的漏洞,便可取得AWS與生成式AI環境的API金鑰,進而列舉雲端資源、探測AI服務,並嘗試進行無限次數的免費調用,造成資源浪費與系統安全風險。
產業回應與安全建議
- 研究人員指出,該漏洞在預設配置下即可實現完全控制,危害遠超NVD描述。
- 塞訊科技發布專項研判報告,強調企業在AI基礎設施部署上存在「部署速度快、補丁滯後」的安全盲區。
- 建議使用者盡速升級至Langflow最新版本,並加強對第三方工具的審查與驗證。
相關資源與資訊
- 駭客濫用Langflow漏洞與NATS訊息中介系統,竊取AI與雲端環境存取金鑰
- Langflow CVE-2026-33017 Exploited to Steal AWS Keys and …
- 資安新聞|資安漏洞與個資外洩日報- 2026年05月16日今日10大焦點
- 3/23至3/29 Known Exploited Vulnerabilities Catalog(KEV)週報
- 關鍵的Langflow漏洞在公開披露後數小時內被利用 – Reddit
- 塞訊科技發布Langflow高危漏洞專項研判與復現報告 – 信息安全知識庫
- CISA警告Langflow重大漏洞已被用於攻擊,要求盡速修補
- AI金鑰外洩與低速DDoS警訊:資安戰場進入偽裝時代 – 墨新聞
- AI大模型安全漏洞預警!Langflow高危遠端程式碼執行漏洞(CVE-2025 …