事件经过
PraisonAI的UI模块硬编码approval_mode=auto,绕过了PRAISON_APPROVAL_MODE环境变量中的管理员配置。这允许经过身份验证的攻击者指示代理执行任意shell命令而无需审批提示。
影响分析
具有shell执行能力的代理AI系统可以修改代码、泄露数据或破坏主机系统。审批模式是一个关键的防护措施。硬编码的自动审批移除了人工控制并启用了横向移动。
攻击途径
PraisonAI中的UI模块将approval_mode硬编码为'auto',覆盖了管理员设置的PRAISON_APPROVAL_MODE环境变量。经过身份验证的攻击者可以指示LLM代理执行任意shell命令,这些命令会自动获得批准而无需人工审查。
受影响系统
PraisonAI < 4.5.128
缓解措施
升级到PraisonAI 4.5.128或更高版本。通过环境变量强制执行approval_mode并移除硬编码的自动批准。