CISA警告大型語言模型開發工具Langflow重大漏洞已被用於攻擊，要求盡速修補

漏洞詳情與影響範圍

美國網路安全暨基礎設施安全局（CISA）近日警告，CVE-2026-33017重大漏洞已被實際利用，此漏洞位於開源大型語言模型開發工具Langflow中，未修補此弱點的使用者將面臨極高安全風險。

攻擊方式與風險

該漏洞允許攻擊者在不需登入的情況下，透過公開的API端點執行任意程式碼，並完全控制Langflow伺服器，導致企業資料可能遭竊取或被用於建立殭屍網路。

修補與建議

• 開發團隊已於1.9.0版本中修補此漏洞。
• 使用者應盡速將Langflow升級至1.9.0或更新版本。
• 建議限制Langflow端點的公開存取，並加強監控企業內部是否出現異常活動。

相關來源與延伸資訊

相關資訊可參考：ithome新聞報導，以及趨勢科技針對該漏洞引發的Flodrix殭屍網路分析。

來源：https://www.ithome.com.tw/news/174752