Se han observado actores de amenazas. intentando explotar una vulnerabilidad de seguridad recientemente revelada en AlabanzaAIun marco de orquestación de múltiples agentes de código abierto, dentro de las cuatro horas posteriores a la divulgación pública.
La vulnerabilidad en cuestión es CVE-2026-44338 (Puntuación CVSS: 7,3), un caso de autenticación faltante que expone puntos finales sensibles a cualquier persona, lo que potencialmente permite a un atacante invocar la funcionalidad protegida del servidor API sin un token.
«AlabanzaAI envía un servidor API Flask heredado con la autenticación deshabilitada de forma predeterminada», según un consultivo publicado por los mantenedores a principios de este mes. «Cuando se utiliza ese servidor, cualquier persona que llame y pueda comunicarse con él puede acceder a /agents y activar el flujo de trabajo de agentes.yaml configurado a través de /chat sin proporcionar un token».
Específicamente, el servidor API heredado basado en Flask, src/praisonai/api_server.py, tiene códigos duros AUTH_ENABLED = False y AUTH_TOKEN = Ninguno. Según PraisonAI, la explotación exitosa de la falla puede tener diversos impactos, que incluyen:
- Enumeración no autenticada del archivo del agente configurado a través de /agents
- Activación no autenticada del flujo de trabajo «agents.yaml» configurado localmente a través de /chat
- Consumo repetido del modelo/cuota API, y
- Exposición de los resultados de PraisonAI.run() a la persona que llama no autenticada
«Por lo tanto, el impacto depende de lo que los agentes.yaml del operador puedan hacer, pero la omisión de autenticación es incondicional en el servidor heredado enviado», dijo PraisonAI.
La vulnerabilidad afecta a todas las versiones del paquete Python desde la 2.5.6 hasta la 4.6.33. Ha sido parcheado en la versión 4.6.34. Al investigador de seguridad Shmulik Cohen se le atribuye el mérito de descubrir e informar el error.
En un informe publicado por Sysdig esta semana, la empresa de seguridad en la nube dijo que observó intentos de explotar la falla pocas horas después de que se hiciera público.
«A las tres horas y 44 minutos de hacerse público el aviso, un escáner que se identificó como CVE-Detector/1.0 estaba investigando el punto final vulnerable exacto en instancias expuestas a Internet», dijo. «El aviso fue publicado [on May 11, 2026,] a las 13:56 UTC. La primera solicitud específica llegó a las 17:40 UTC del mismo día».
La actividad, según Sysdig, se originó en la dirección IP 146.190.133[.]49 y siguió un perfil de escáner empaquetado que llevó a cabo dos pases con ocho minutos de diferencia, y cada pase impulsó aproximadamente 70 solicitudes en aproximadamente 50 segundos.
Mientras que el primer paso escaneó rutas de divulgación genéricas (/.env, /admin, /users/sign_in, /eval, /calculate, /Gemfile.lock), el segundo paso destacó específicamente las superficies de agentes de IA, incluido PraisonAI.
«La sonda que coincidió directamente con CVE-2026-44338 fue un único GET /agents sin encabezado de Autorización y User-Agent CVE-Detector/1.0», dijo Sysdig. «Esa solicitud devuelve 200 OK con el cuerpo {«agent_file»:»agents.yaml»,»agents»:[…]}, confirmando que la omisión fue exitosa.»
No se ha encontrado que el escáner envíe ninguna solicitud POST al punto final «/chat» durante ninguno de los pases, lo que indica que la actividad es consistente con una verificación inicial para determinar si la omisión de autenticación funciona y confirmar si el host es explotable a través de CVE-2026-44338.
La rápida explotación de PraisonAI es el último ejemplo de una tendencia más amplia en la que los actores de amenazas están adoptando cada vez más fallas recientemente reveladas en su arsenal antes de que puedan ser reparadas. Se recomienda a los usuarios que apliquen las últimas correcciones lo antes posible, auditen las implementaciones existentes, revisen la facturación del proveedor de modelos para detectar cualquier actividad sospechosa y roten las credenciales a las que se hace referencia en «agents.yaml».
«Las herramientas adversarias se han ampliado a todo el ecosistema de inteligencia artificial y agentes, sin importar el tamaño, y no solo los nombres conocidos, y el supuesto operativo para cualquier proyecto que genere un incumplimiento no autenticado debe ser que la ventana entre la divulgación y la explotación activa se mide en horas de un solo dígito», dijo Sysdig.
