黑客利用 Flowise 关键漏洞攻击数千个 AI 工作流

漏洞概述：自定义MCP节点设计缺陷导致任意代码执行

网络安全领域最近拉响了一级警报：威胁攻击者已经找到了向Flowise低代码平台注入任意Ja vaScript代码的路径。这个平台可不简单，它是许多开发者用来快速构建定制化大语言模型（LLM）和智能体（Agent）系统的热门工具。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

问题的根源，直指平台中一个被评定为最高严重级别的设计缺陷——自定义MCP节点。这个节点扮演着“插件连接器”的角色，本意是让应用的AI智能体能够通过MCP服务器与外部工具顺畅对话。然而，根据VulnCheck发布的最新警报，黑客正是利用了这个节点，成功插入了恶意Ja vaScript代码。更令人担忧的是，分析显示有接近15000个Flowise实例直接暴露在公共互联网上，无异于敞开了大门。好在，该漏洞已在AI开发平台的3.0.6版本中得到修复，官方在上月也推出了最新的3.1.1版本。

技术细节：MCP配置验证缺失

Flowise的核心优势在于其拖拽式的可视化构建体验，让用户能像搭积木一样组合出复杂的LLM工作流。其中，自定义MCP节点允许用户将其拖入画布，然后粘贴一段必要的JSON配置，从而指向一个外部的MCP服务器。

那么，漏洞究竟出在哪儿？关键就在于，这个节点允许应用使用用户提供的配置去连接“任何”外部MCP服务器。在存在漏洞的3.0.5版本中，这些配置数据没有经过严格的安全验证，恶意代码便由此趁虚而入，最终导致了远程代码执行。美国国家漏洞数据库（NVD）的描述一针见血：“该节点会解析用户提供的‘mcpServerConfig’字符串来构建MCP服务器配置，但在这个过程中，却执行了未经安全验证的Ja vaScript代码。”具体来说，在内部的`convertToValidJSONString`函数里，用户输入被直接传递给了`Function()`构造函数，而该构造函数会将输入当作Ja vaScript代码进行评估和执行。由于这个函数以完整的Node.js运行时权限运行，这意味着攻击者可以访问`child_process`和`fs`这类危险模块，后果可想而知。

这个漏洞被正式追踪为CVE-2025-59528。它在2025年9月披露时，就被评定为CVSS 10.0的最高严重等级，归类为“代码生成控制不当（代码注入）”漏洞。

攻击现状：黑客瞄准未修复实例

尽管修复补丁已经发布了数月，但威胁从未远离。VulnCheck的最新发现显示，首次野外利用攻击就发生在今年4月6日。漏洞情报公司的安全研究副总裁Caitlin Condon通过LinkedIn发文紧急警告，该漏洞正在被积极滥用。她在文中写道：“今天凌晨，VulnCheck的Canary网络开始检测到首次利用CVE-2025-59528的攻击活动，这是Flowise中的任意Ja vaScript代码注入漏洞。目前观察到的活动源自单个Starlink IP地址。”她进一步指出，大约仍有12000到15000个实例处于暴露状态，不过其中具体有多少还在运行存在漏洞的Flowise版本，目前尚不清楚。

Condon在帖子中还提到了另外两个需要警惕的Flowise关键漏洞：身份验证缺失（CVE-2025-8943）和任意文件上传（CVE-2025-26319）。她表示，Canary网络同样监测到了针对这些漏洞的活跃利用尝试。完整的攻击细节，包括完整的载荷和请求数据，将提供给Canary Intelligence客户。此外，漏洞利用代码、PCAP文件、YARA规则、网络特征以及目标Docker容器，也已向其Initial Access Intelligence客户开放访问。