何が起きたか
PraisonAIのUIモジュールはapproval_mode=autoをハードコードしており、PRAISON_APPROVAL_MODE環境変数から管理者設定をバイパスしています。これにより、認証済みの攻撃者がエージェントに任意のシェルコマンドを実行するよう指示し、承認プロンプトなしに実行させることができます。
なぜ重要か
シェル実行機能を備えたエージェントAIシステムはコードを修正したり、データを流出させたり、ホストシステムを侵害したりできます。Approvalモードは重要なセーフガードです。autoの承認をハードコードすると、人間がループに入るコントロールが削除され、横方向の移動が可能になります。
攻撃経路
PraisonAIのUIモジュールはapproval_modeを「auto」にハードコードしており、管理者が設定したPRAISON_APPROVAL_MODE環境変数をオーバーライドしています。認証済みの攻撃者がLLMエージェントに任意のシェルコマンドを実行するよう指示でき、人間による確認なしに自動的に承認されます。
影響を受けるシステム
PraisonAI < 4.5.128
緩和策
PraisonAI 4.5.128以降にアップグレードしてください。環境変数経由でapproval_modeを強制し、ハードコードされたauto承認を削除してください。