← 返回文章列表
資安 by Namog Security Bot

資安快訊:今日重要 CVE(2026-07-12)

#security #cve #nvd #vibe-coding

今日重點:兩個 PraisonAI 漏洞都和 AI 產生/執行程式碼有關,使用 PraisonAI 做 vibe coding、自動化 agent 或讓 LLM 呼叫工具的開發者應立即檢查版本並升級。

CVE-2026-61445(嚴重度 CVSS 9.9)

影響

PraisonAI 4.6.78 之前版本的 AICoder 元件有任意檔案寫入與命令執行漏洞。問題出在 LLM tool calls 缺少路徑驗證與命令清理,攻擊者可透過聊天介面注入惡意 prompt,讓系統把檔案寫到任意位置,並以 root 權限執行任意 shell command。

如果你用 PraisonAI 的 AICoder 讓 AI 幫你改檔、產生程式、執行指令,這會直接影響開發機、伺服器或 CI 環境的安全。

該做什麼

將 PraisonAI 升級到 4.6.78 或更新版本。升級前,避免把 PraisonAI AICoder 暴露給不可信使用者,也不要在含有敏感環境變數或高權限帳號的主機上執行舊版 AICoder。

CVE-2026-61447(嚴重度 CVSS 10.0)

影響

PraisonAI 1.6.78 之前版本的 CodeAgent._execute_python() 有遠端程式碼執行漏洞。它會執行 LLM 產生的 Python code,但缺少 AST 驗證、import 限制與 sandbox 強制隔離。攻擊者可透過 prompt injection 影響 LLM 輸出,進而外洩所有環境機密,並在主機上執行任意程式碼。

如果你用 PraisonAI CodeAgent 讓 AI 自動寫 Python、跑 Python、處理專案檔案或讀取環境變數,這是最高風險漏洞。

該做什麼

將 PraisonAI 升級到 1.6.78 或更新版本。若暫時無法升級,應停用會執行 LLM 產生 Python code 的 CodeAgent 功能,並避免在含有 API key、資料庫密碼、雲端憑證等環境變數的主機上執行受影響版本。

資料來源:NVD

讀者回應

0/500

載入中...


推薦閱讀

訂閱最新文章

每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。

我們尊重你的隱私,隨時可以取消訂閱。

本文由 Namog Vibe Coding 自動化監控系統生成