Компания VulnCheck сообщила об активной эксплуатации критической уязвимости в Flowise — популярном open-source конструкторе ИИ-агентов. Уязвимость получила максимальный балл по шкале CVSS — 10.0 из 10 возможных. Это означает, что злоумышленник может получить полный контроль над сервером, и для этого ему нужен всего лишь API-токен. Причём в интернете прямо сейчас доступны более 12 000 незащищённых экземпляров Flowise.
Уязвимость зарегистрирована под идентификатором CVE-2025-59528. Обнаружил её и сообщил разработчикам исследователь Ким СуХён (Kim SooHyun). Проблема кроется в узле CustomMCP, который позволяет пользователям задавать настройки подключения к внешним серверам MCP (Model Context Protocol). Этот узел принимает от пользователя строку конфигурации
Звучит как плохая шутка, но по факту атакующий через эту дыру получает доступ к полноценному runtime Node.js. А значит — к модулю
Особую тревогу вызывает масштаб. Кейтлин Кондон (Caitlin Condon), вице-президент по исследованиям безопасности в VulnCheck, отметила: «Это критическая уязвимость в популярной ИИ-платформе, которую используют многие крупные корпорации. Конкретно эта уязвимость была публично известна более шести месяцев, а значит, у защитников было время расставить приоритеты и установить патч. Но при поверхности атаки в 12 000+ открытых экземпляров активное сканирование и попытки эксплуатации, которые мы наблюдаем, становятся гораздо серьёзнее — у атакующих полно целей для оппортунистической разведки и взлома».
Шесть месяцев — и всё ещё 12 тысяч уязвимых серверов. Это много говорит о том, как в реальности обстоят дела с обновлениями в среде пользователей open-source ИИ-инструментов. Люди разворачивают Flowise, настраивают агентов, подключают к корпоративным данным — и забывают о нём. А он торчит наружу, в интернет, с дырой размером с ворота.
По данным VulnCheck, прямо сейчас активная эксплуатация ведётся с одного IP-адреса, принадлежащего сети Starlink. Пока один адрес, но ситуация может измениться быстро: как только подобные уязвимости получают широкую огласку, к «охоте» подключаются всё новые группировки. CVE-2025-59528 — уже третья уязвимость Flowise, которая эксплуатируется в дикой среде. До неё были CVE-2025-8943 (удалённое выполнение команд ОС, CVSS 9.8) и CVE-2025-26319 (загрузка произвольных файлов, CVSS 8.9). Паттерн, мягко говоря, настораживает.
Патч существует. Проблема исправлена в версии 3.0.6 npm-пакета Flowise. Установка обновления — единственный адекватный ответ. Никакие промежуточные меры вроде ограничения API-токенов или сетевой фильтрации не закрывают саму уязвимость, потому что корень проблемы — исполнение непроверенного кода внутри логики приложения.
Ситуация с Flowise показательна для всей экосистемы open-source ИИ-инструментов. Разработчики торопятся внедрить поддержку новых протоколов вроде MCP, добавляют гибкие конфигурации, дают пользователям возможность передавать произвольные строки — и при этом пропускают базовые проверки. А потом эти инструменты попадают в продакшн крупных компаний, обрабатывают клиентские данные и стоят открытыми в сеть. Кто в итоге несёт ответственность — вопрос, на который пока нет внятного ответа.
Изображение носит иллюстративный характер
Уязвимость зарегистрирована под идентификатором CVE-2025-59528. Обнаружил её и сообщил разработчикам исследователь Ким СуХён (Kim SooHyun). Проблема кроется в узле CustomMCP, который позволяет пользователям задавать настройки подключения к внешним серверам MCP (Model Context Protocol). Этот узел принимает от пользователя строку конфигурации
mcpServerConfig и при её обработке выполняет JavaScript-код без какой-либо проверки безопасности. Совсем. Звучит как плохая шутка, но по факту атакующий через эту дыру получает доступ к полноценному runtime Node.js. А значит — к модулю
child_process для выполнения произвольных команд операционной системы и к модулю fs для чтения и записи файловой системы. Итог: произвольное исполнение кода, кража данных, полная компрометация сервера. В своём адвайзори от сентября 2025 года разработчики Flowise прямо написали: «Поскольку для эксплуатации требуется только API-токен, это создаёт чрезвычайный риск для непрерывности бизнеса и данных клиентов». Особую тревогу вызывает масштаб. Кейтлин Кондон (Caitlin Condon), вице-президент по исследованиям безопасности в VulnCheck, отметила: «Это критическая уязвимость в популярной ИИ-платформе, которую используют многие крупные корпорации. Конкретно эта уязвимость была публично известна более шести месяцев, а значит, у защитников было время расставить приоритеты и установить патч. Но при поверхности атаки в 12 000+ открытых экземпляров активное сканирование и попытки эксплуатации, которые мы наблюдаем, становятся гораздо серьёзнее — у атакующих полно целей для оппортунистической разведки и взлома».
Шесть месяцев — и всё ещё 12 тысяч уязвимых серверов. Это много говорит о том, как в реальности обстоят дела с обновлениями в среде пользователей open-source ИИ-инструментов. Люди разворачивают Flowise, настраивают агентов, подключают к корпоративным данным — и забывают о нём. А он торчит наружу, в интернет, с дырой размером с ворота.
По данным VulnCheck, прямо сейчас активная эксплуатация ведётся с одного IP-адреса, принадлежащего сети Starlink. Пока один адрес, но ситуация может измениться быстро: как только подобные уязвимости получают широкую огласку, к «охоте» подключаются всё новые группировки. CVE-2025-59528 — уже третья уязвимость Flowise, которая эксплуатируется в дикой среде. До неё были CVE-2025-8943 (удалённое выполнение команд ОС, CVSS 9.8) и CVE-2025-26319 (загрузка произвольных файлов, CVSS 8.9). Паттерн, мягко говоря, настораживает.
Патч существует. Проблема исправлена в версии 3.0.6 npm-пакета Flowise. Установка обновления — единственный адекватный ответ. Никакие промежуточные меры вроде ограничения API-токенов или сетевой фильтрации не закрывают саму уязвимость, потому что корень проблемы — исполнение непроверенного кода внутри логики приложения.
Ситуация с Flowise показательна для всей экосистемы open-source ИИ-инструментов. Разработчики торопятся внедрить поддержку новых протоколов вроде MCP, добавляют гибкие конфигурации, дают пользователям возможность передавать произвольные строки — и при этом пропускают базовые проверки. А потом эти инструменты попадают в продакшн крупных компаний, обрабатывают клиентские данные и стоят открытыми в сеть. Кто в итоге несёт ответственность — вопрос, на который пока нет внятного ответа.
