补丁发布 6 个月仍有 1.2 万实例裸奔！Flowise CVSS 10.0 RCE 漏洞(CVE-2025-5952)全拆解

2026年4月7日全球网络安全厂商VulnCheck发布紧急预警其遍布全球的蜜罐网络已监测到针对Flowise开源AI Agent低代码平台的真实野外攻击活动攻击者正利用编号为CVE-2025-59528的高危漏洞对公网暴露的目标实施无差别批量入侵。令人心惊的是这并非一个刚披露的零日漏洞——早在2025年9月Flowise官方就已发布3.0.6版本完成补丁修复截至攻击被监测时补丁已公开超6个月。而全球网络空间测绘数据显示当下仍有逾1.2万个Flowise实例直接暴露在公网互联网中其中超70%运行在3.0.5及以下的受影响版本近万个企业与个人开发的AI业务节点正处于“单请求即可完全接管”的致命风险中。更值得警惕的是这个被NVD评为CVSS 10.0最高严重等级的“核弹级”漏洞绝非孤立的安全事故。它撕开的是整个AI Agent低代码赛道在爆发式增长背后全面失守的安全防线更是AI原生开发时代全行业必须直面的系统性安全困局。一、事件全景复盘从满分漏洞披露到6个月后的野外攻防战要理解这场危机的严重性首先要明确Flowise在AI生态中的核心地位。作为基于LangChain构建的开源低代码AI Agent平台Flowise凭借可视化拖拽的开发模式将原本需要数千行代码才能实现的AI工作流、RAG检索系统、智能客服、业务自动化流程简化为几分钟的搭建操作。截至2026年其GitHub仓库星标已突破3.3万全球累计下载量超百万覆盖从个人开发者、初创企业到世界500强公司的海量用户是低代码AI Agent领域的标杆性项目。也正因如此CVE-2025-59528漏洞的出现从一开始就注定了其广泛的影响半径。我们可以通过完整的时间线看清这场危机的演进全过程2025年9月Flowise官方正式披露CVE-2025-59528漏洞同步发布3.0.6安全修复版本。该漏洞被NVD评为CVSS 10.0满分等级成为Flowise历史上首个最高危漏洞官方在公告中用“可无授权完全接管目标系统”描述其危害。2025年11月-2026年1月漏洞的POC概念验证代码与EXP武器化利用工具在黑客社区与暗网逐步公开自动化批量扫描工具出现全球安全社区多次发布预警提醒用户尽快升级补丁。2026年3月网络空间测绘数据显示全球公网可直接访问的Flowise实例已突破1.2万个其中超70%仍运行在受影响版本大量实例既未开启身份认证也未做任何网络隔离。2026年4月7日VulnCheck确认野外利用活动已真实发生其蜜罐捕获到来自Starlink IP段的批量攻击流量攻击者正在对公网暴露的实例进行无差别漏洞探测、权限获取与持久化后门植入。这并非Flowise首次沦为黑客的攻击目标。短短一年时间内该平台已连续曝出CVE-2025-8943CVSS 9.8未授权RCE、CVE-2025-26319CVSS 8.9、CVE-2025-58434CVSS 9.8未授权账户接管等多个严重级以上漏洞且所有漏洞均已出现野外武器化利用。如今的Flowise已成为黑产团伙入侵企业AI基础设施的核心突破口。二、满分漏洞技术拆解一行代码如何击穿整个AI系统在网络安全行业CVSS 10.0的满分评级有着极为严苛的准入标准必须同时满足远程可利用、无需身份认证、攻击复杂度极低、无需受害者交互、影响范围跨维度、机密性/完整性/可用性影响全部拉满。纵观全球漏洞披露历史能达到这一评级的漏洞屈指可数每一个都足以引发行业级的安全地震。而CVE-2025-59528漏洞完全符合这一“核弹级”漏洞的所有特征。其核心根源在于Flowise为了极致的易用性彻底放弃了最基础的安全校验为攻击者打开了直通系统核心的大门。漏洞的设计背景为便捷而生的功能为攻击埋下的伏笔漏洞出现在Flowise的CustomMCP节点中。MCPModel Context Protocol是Anthropic推出的标准化协议核心作用是让AI Agent能够安全、统一地连接外部工具与数据源是当前AI Agent扩展能力的核心基础设施被几乎所有主流AI平台兼容。Flowise在3.0版本新增CustomMCP节点正是为了让用户无需编写代码只需通过简单的配置字符串就能快速连接自定义的MCP服务器扩展AI Agent的外部能力。这个为降低开发门槛设计的核心功能最终却成为了整个系统的致命短板。致命缺陷无校验的动态代码执行单请求即可完全接管漏洞的核心问题在于Flowise对用户输入的处理方式存在根本性的安全错误。当用户通过CustomMCP节点提交mcpServerConfig配置字符串时后端服务直接采用了最危险的动态代码执行逻辑Function(return userInput)()在这行代码中用户可控的输入内容被直接包装进JavaScript的Function构造函数中在服务端的Node.js运行时里无隔离执行。整个过程没有任何输入过滤、没有语法白名单校验、没有沙箱隔离、没有权限限制甚至无需任何身份认证。攻击者只需向Flowise实例的/api/v1/node-load-method/customMCP端点发送一个精心构造的POST请求就能将恶意JavaScript代码注入到服务端运行时中。而Node.js运行时的完全访问权限意味着攻击者可以直接调用child_process模块执行任意系统命令获取服务器操作系统的完全控制权通过fs模块读写、篡改、删除服务器上的任意文件窃取所有敏感数据读取环境变量与配置文件获取大模型厂商API密钥、数据库连接凭证、企业内部认证信息植入持久化后门、创建管理员账号、部署挖矿程序实现对目标服务器的长期控制。整个攻击过程仅需一个HTTP请求无需任何前置条件无需受害者交互真正做到了“单请求沦陷”。这也是该漏洞能被评为CVSS 10.0满分的核心原因——它给攻击者提供了一条零成本、无阻碍、直通系统核心的攻击路径。三、1.2万实例裸奔的背后补丁已发6个月为何防线全面失守一个令人费解的问题是官方补丁早已发布6个月修复方式仅需一次版本升级为何仍有超1.2万个实例暴露在风险之中这绝不是补丁本身的问题而是整个AI低代码赛道在爆发式增长中普遍存在的四大行业顽疾最终酿成了这场大规模安全危机。1. “重功能、轻安全”的认知偏差AI开发者的安全能力断层Flowise的核心用户群体大多是AI算法工程师、业务开发者、产品经理而非专业的网络安全与运维人员。他们使用低代码平台的核心诉求是快速搭建AI Agent、实现业务功能、验证AI场景的商业价值对底层基础设施的安全防护几乎没有概念。Gartner数据显示2026年全球70%的新AI应用将由非专业开发者通过低代码平台构建。这些开发者大多具备AI算法、业务场景的专业能力但对防火墙配置、身份认证、漏洞修复、系统运维的知识近乎空白。很多人通过Docker一键部署Flowise后就直接将管理界面和服务端口映射到公网既不开启身份认证也不配置访问控制更不会关注官方的漏洞公告形成了“部署即裸奔”的行业常态。更危险的是80%的非专业开发者误以为“AI低代码平台是开箱安全的”平台本身已经做好了安全防护。这种错误认知让他们在面对漏洞预警时毫无防备最终成为黑客攻击的首要目标。2. “测试环境无风险”的错误认知企业内网的跳板危机大量暴露在公网的Flowise实例是企业的开发测试环境。很多企业存在一个致命的安全误区“测试环境没有核心生产数据不需要做严格的安全防护”。为了方便团队远程协作、快速迭代AI功能他们直接将测试实例挂在公网不做任何网络隔离与身份认证。但事实上企业的测试环境往往与生产环境存在直接的网络连通存储着生产环境的测试账号、API密钥、数据库快照、业务流程逻辑等核心敏感信息。一旦测试环境的Flowise实例被攻陷就会成为黑客入侵企业内网的“桥头堡”进而横向渗透到生产系统、数据库、CI/CD流水线引发连锁攻击。此前已有多起真实案例某电商企业的AI客服测试环境被攻陷攻击者通过该实例获取了生产数据库的访问权限导致数十万用户的个人信息泄露某制造企业的AI调度测试实例失陷攻击者篡改了生产计划数据给企业造成了超千万元的直接经济损失。3. 开源软件的“维护断层”上游已修复下游仍裸奔Flowise作为开源项目被大量企业和开发者进行二次开发嵌入到自己的产品、解决方案与业务系统中交付给终端客户。这就形成了一个严重的安全维护断层上游官方发布漏洞补丁后进行二次开发的厂商没有及时同步更新代码也没有向终端客户推送安全升级通知导致大量嵌入式部署的Flowise实例长期处于漏洞状态完全无法接收官方的安全预警。这种“二次开发导致的维护断层”在开源AI工具链中极为普遍。安全研究显示在所有已披露的AI开源项目漏洞中仅有不到30%的二次衍生版本能在官方补丁发布后的1个月内完成修复超60%的衍生版本在补丁发布6个月后仍未完成升级。4. 攻击面的无限放大从开发工具到企业AI核心枢纽随着AI Agent的规模化落地Flowise早已不再是一个单纯的开发工具而是直接接入企业的业务系统、内部知识库、数据库、第三方API服务成为企业AI业务的核心枢纽。一个Flowise实例往往关联着企业的客户服务、内部审批、数据检索、业务自动化等多个核心场景。一旦这个枢纽被攻破攻击者就能触达企业的所有核心业务资产漏洞的影响半径被无限放大。原本只是一个开发工具的安全漏洞最终演变为整个企业AI业务的全面崩塌。四、风险全景不止是服务器接管更是AI业务的全维度崩塌很多企业和开发者对这个漏洞的认知仍停留在“服务器被接管”的层面。但事实上对于AI低代码平台而言漏洞带来的风险是全维度、全链条的其影响远不止于一台服务器的失陷。1. 核心资产完全泄露经济损失与商业风险双重爆发成功利用漏洞后攻击者可直接窃取Flowise实例中存储的所有敏感资产包括OpenAI/Anthropic/国内大模型厂商的API密钥、企业内部知识库文档、用户隐私数据、业务流程逻辑、数据库连接凭证等。这些资产的泄露会带来双重致命打击一方面攻击者可利用窃取的API密钥进行大规模盗刷给企业带来巨额的账单损失此前已有企业因API密钥泄露一夜之间产生超百万元的大模型调用费用另一方面企业的核心商业机密、内部知识库、用户隐私数据完全暴露不仅会丧失商业竞争力还会面临用户集体诉讼与监管处罚。2. AI工作流被恶意篡改Agent沦为攻击者的“帮凶”Flowise的核心价值是构建AI Agent的自动化工作流。攻击者在获取实例控制权后可直接篡改这些工作流逻辑比如在企业AI客服中植入钓鱼链接、在客户意向分析流程中篡改数据、在内部审批自动化流程中植入越权逻辑、在合同审核AI中加入漏洞条款。这种篡改极具隐蔽性企业很难在短时间内发现最终让AI Agent成为攻击者的“帮凶”。不仅会给企业带来直接的经济损失还会严重损害企业的品牌声誉甚至引发大规模的用户信任危机。3. 内网横向渗透与供应链攻击引发行业级连锁风险被攻陷的Flowise服务器会成为黑客进入企业内网的“桥头堡”。攻击者可利用该服务器作为跳板对内网进行端口扫描、漏洞探测入侵企业的核心业务系统、数据库、文件服务器甚至通过供应链攻击将恶意代码植入到企业交付给客户的产品中。对于提供AI解决方案的厂商而言这种供应链攻击的影响是毁灭性的——一旦其开发环境的Flowise实例被攻陷攻击者可将恶意代码植入到所有交付给客户的解决方案中引发大范围的连锁安全事件最终给厂商带来灭顶之灾。4. 合规与法律风险触碰监管红线的致命代价在全球数据安全监管日趋严格的当下漏洞带来的合规风险是很多企业无法承受的。在中国《网络安全法》《数据安全法》《个人信息保护法》明确要求网络运营者应当履行网络安全保护义务及时修复安全漏洞保障网络数据的完整性、保密性、可用性。若因未修复漏洞导致用户个人信息泄露、商业数据丢失企业将面临最高5000万元的行政处罚相关责任人还可能承担刑事责任。在海外欧盟GDPR的最高罚款可达企业全球年营业额的4%对于跨国企业而言一次数据泄露事件就可能带来数亿欧元的巨额罚单。5. 黑产化批量利用失陷资产沦为黑产工具随着野外利用的出现该漏洞已正式进入黑产的武器库。黑客可通过自动化批量扫描工具对公网暴露的Flowise实例进行无差别攻击将失陷的服务器组建成僵尸网络用于DDoS攻击、虚拟货币挖矿、垃圾邮件发送、暗网流量转发等黑产活动。更有甚者黑客会将失陷的Flowise实例访问权限、窃取的敏感数据在暗网进行售卖形成“漏洞探测-武器化利用-资产窃取-暗网售卖”的完整黑产产业链让风险持续扩散难以根除。五、行业困局Flowise漏洞不是个例AI低代码安全已全面告急如果我们把视野放宽就会发现Flowise的安全危机绝非一个产品的个例而是整个AI低代码赛道的共性问题。随着生成式AI的爆发AI低代码平台迎来了井喷式增长。除了FlowiseLangflow、Dify、FastGPT等同类产品均获得了数百万开发者的青睐成为企业AI转型的核心工具。但与此同时这些平台也纷纷沦为高危漏洞的重灾区2026年3月Langflow曝出CVE-2026-33017漏洞CVSS评分同样拉满至10.0漏洞披露后仅20小时就被黑产完成武器化改造大量公网暴露的实例面临沦陷风险2025年全年Dify、FastGPT等主流AI低代码平台均多次曝出未授权访问、远程代码执行、权限绕过等严重漏洞且均出现了野外利用安全研究显示2025年全年全球主流AI低代码平台累计披露高危漏洞超40个其中80%以上可实现未授权远程代码执行平均补丁发布后6个月仍有超50%的实例未完成升级。这场全行业的安全危机根源在于四大系统性的安全短板这也是AI低代码赛道必须解决的核心难题。1. “易用性优先安全性后置”的行业通病AI低代码平台的核心竞争力就是降低AI应用的开发门槛让非专业开发者也能快速搭建AI Agent。为了极致的易用性很多平台厂商在产品设计时默认关闭了身份认证、权限管控、输入校验、沙箱隔离等安全机制将“开箱即用”放在了“安全可靠”之前。Flowise的CustomMCP节点就是最典型的例子为了让用户能灵活配置MCP服务器平台直接放弃了所有安全校验最终酿成了满分漏洞的灾难。这种“为了易用性牺牲安全性”的设计理念在整个AI低代码行业极为普遍也是高危漏洞频发的核心根源。2. 新兴技术的安全规范空白MCP协议成为新的攻击面MCP协议作为AI Agent与外部工具交互的新兴标准推出仅一年多时间就已被几乎所有主流AI Agent平台采用成为AI Agent的“通用语言”。但该协议在设计初期以灵活性和扩展性为核心缺乏统一的安全规范与最佳实践导致大量第三方MCP实现存在严重的安全缺陷。安全研究显示全球公开的1899个MCP服务中7.2%存在高危漏洞5.5%暗藏工具投毒风险3.6%存在明文存储凭证的问题。而AI低代码平台在集成MCP协议时大多只关注功能实现没有对MCP服务的安全性进行校验与隔离最终让新兴技术的安全风险传导到了整个AI应用生态。除了MCP协议A2AAgent-to-Agent等新兴的AI Agent交互协议同样面临着安全规范空白的问题。这些新兴技术在快速普及的同时也正在成为AI安全的新雷区。3. AI开源工具链的供应链安全危机Flowise、Langflow等AI低代码平台都是基于LangChain、LlamaIndex等开源AI框架构建而这些框架又依赖大量的第三方开源组件。整个AI工具链的供应链层级极深任何一个环节出现安全漏洞都会传导到上层的低代码平台最终影响到所有基于该平台构建的AI应用。但目前行业内针对AI开源工具链的供应链安全审计还处于非常初级的阶段。大量开源组件没有经过严格的安全审查就被数百万开发者下载使用很多AI框架的核心依赖长期使用存在已知漏洞的旧版本。这种“牵一发而动全身”的供应链安全危机是整个AI行业必须面对的长期挑战。4. 安全监管与行业标准的严重滞后AI低代码平台作为新兴赛道其技术迭代速度远超传统软件而对应的安全监管与行业标准却处于严重滞后的状态。目前全球范围内尚未出台针对AI低代码平台的统一安全规范与评估标准平台的安全能力完全依赖厂商的自觉大量产品在没有经过任何安全检测的情况下就被企业用于核心生产场景。监管的滞后、标准的缺失让整个行业处于“野蛮生长”的状态也让安全风险持续累积最终集中爆发。六、破局之路从紧急补丁到全生命周期安全体系建设面对这场全面爆发的AI低代码安全危机无论是个人开发者、中小企业还是大型企业都必须立即行动起来从紧急处置到长期体系建设构建全维度的安全防护能力。一紧急处置方案所有受影响用户必须立即执行优先完成版本升级立即将所有Flowise实例升级至3.0.6及以上安全版本建议直接更新至官方最新的3.1.1版本这是根治该漏洞的核心措施。对于无法立即升级的实例必须立即下线关停禁止接入任何公网与企业内网。全面实施网络隔离严禁将Flowise管理界面和服务端口直接暴露在公网非必要对外提供服务的实例必须部署在内网环境中仅通过VPN、专线等加密通道访问通过IP白名单严格限制访问源关闭不必要的端口映射。全面失陷排查与应急响应对所有已部署的Flowise实例进行全面安全审计重点排查异常进程、未知定时任务、可疑文件写入、非授权管理员账号、异常网络连接等失陷迹象。若发现入侵痕迹立即隔离受感染服务器重置所有关联的API密钥、账号凭证、数据库密码并进行全面的溯源分析清除攻击者植入的后门。最小化攻击面若业务无需使用CustomMCP功能直接在平台配置中禁用该节点关闭所有非必要的自定义节点、第三方插件仅保留业务必需的核心功能最小化实例的攻击面。二短期加固方案7天内完成的安全基线建设强制身份认证与最小权限管控生产环境必须开启强身份认证机制启用双因素认证2FA配置基于角色的访问控制RBAC按照“最小权限原则”为不同用户分配权限禁止使用管理员账号进行日常操作严禁使用弱口令、默认口令。运行环境安全加固禁止以root/管理员权限运行Flowise服务使用低权限用户启动服务限制服务对文件系统的访问范围通过Docker等容器化技术部署实例开启容器安全隔离机制限制容器的系统调用权限禁止容器与宿主机共享网络、进程命名空间。全链路日志审计与监控开启Flowise的全量操作日志、API访问日志、系统运行日志对接企业的SIEM安全信息与事件管理系统实时监控异常访问、恶意代码执行、敏感数据读取等行为建立异常行为的告警与应急响应机制确保攻击行为能被及时发现、及时处置。敏感数据加密保护对实例中存储的API密钥、数据库凭证、认证信息等敏感数据必须进行加密存储禁止明文写在配置文件、环境变量中对接企业的密钥管理系统KMS实现敏感凭证的统一管理与动态轮换降低凭证泄露的风险。三长期体系建设企业级AI应用全生命周期安全防护对于将AI低代码平台用于核心生产场景的企业而言单次的补丁升级与临时加固无法从根本上解决安全问题。必须建立覆盖AI应用全生命周期的安全防护体系才能真正抵御持续演变的安全威胁。建立AI应用安全开发生命周期AISDLC将安全防护融入AI应用的需求设计、开发测试、部署上线、运行维护、下线停用的全流程。在项目启动阶段就进行安全风险评估制定安全防护方案开发阶段进行代码安全审计、漏洞扫描测试阶段进行渗透测试、安全攻防演练上线前进行安全验收未通过安全检测的应用严禁上线运行。构建纵深防御体系以“最小权限、隔离防护、可审计、可回滚”为核心从网络层、身份层、应用层、数据层、系统层五个维度构建闭环的纵深防御体系。网络层通过防火墙、WAF、IPS阻断恶意攻击身份层通过零信任架构实现“永不信任始终验证”的访问控制应用层对用户输入进行严格校验对自定义代码执行进行沙箱隔离数据层实现敏感数据的加密存储与传输系统层进行服务器安全加固、漏洞定期扫描与补丁更新。强化供应链安全管理建立开源AI组件的准入机制对所有引入的开源框架、插件、组件进行严格的安全审计与漏洞扫描禁止使用未经安全验证的第三方组件建立软件物料清单SBOM清晰掌握AI应用的所有依赖组件当出现开源漏洞时能快速定位影响范围及时进行修复与上游开源社区建立联动机制及时获取漏洞预警与补丁更新。建设AI开发者安全能力体系针对AI算法工程师、业务开发者、低代码平台使用者开展常态化的安全培训普及AI应用安全基础知识、漏洞防护最佳实践、应急响应流程提升开发者的安全意识与安全能力填补AI开发与网络安全之间的能力断层。四给AI低代码平台厂商的核心建议平台厂商是AI低代码安全的第一道防线必须承担起安全防护的主体责任从产品设计的源头解决安全问题。坚持“默认安全”的设计原则在产品设计阶段就将安全作为核心指标而非附加功能。默认开启身份认证、权限管控、输入校验等安全机制而非让用户手动开启对于自定义代码执行、系统命令调用等高危功能必须默认禁用仅在用户明确授权、充分告知风险的前提下开启。建立严格的安全开发生命周期对产品代码进行常态化的安全审计、漏洞扫描、渗透测试在版本发布前必须通过完整的安全检测建立专门的安全响应团队及时处理用户提交的漏洞报告快速发布补丁更新并向用户推送漏洞预警。对高危功能进行强安全隔离对于自定义节点、第三方插件、代码执行等高危功能必须采用沙箱技术进行严格的隔离运行限制其访问系统资源、网络服务的权限即使出现安全漏洞也能将攻击影响限制在沙箱内避免风险扩散到宿主机与整个系统。推动行业安全标准的建立联合行业内的头部厂商、安全机构、监管部门共同制定AI低代码平台的安全规范与最佳实践建立统一的安全评估标准推动整个行业的安全能力提升。七、前瞻展望AI Agent安全的下一个战场随着生成式AI技术的爆发AI Agent正在从概念验证走向规模化生产落地成为企业数字化转型的核心基础设施。Gartner预测到2027年全球90%的企业将通过AI Agent实现业务流程的自动化AI低代码平台将成为企业AI应用开发的主流方式。但与此同时AI Agent的安全威胁也将从单一的代码漏洞演变为多维度、全链路的系统性安全挑战。未来3年AI Agent安全将迎来三大核心战场这也是整个行业必须提前布局的核心方向。1. 新兴协议与标准的安全攻防MCP、A2A等AI Agent交互协议将成为未来攻防对抗的核心焦点。随着这些协议的普及攻击者将不断挖掘协议实现中的安全漏洞设计出工具投毒、上下文污染、权限滥用等新型攻击方式。行业必须加快建立协议的安全规范推动协议的安全标准化从源头堵住安全漏洞。2. AI Agent的权限与行为管控未来的AI Agent将具备更强的自主决策、自动执行能力能直接操作企业的业务系统、调用核心资源、处理敏感数据。如何对AI Agent的行为进行实时监控、权限管控、风险拦截避免AI Agent被攻击者诱导、篡改执行恶意操作将成为企业AI安全的核心课题。零信任架构、AI行为基线分析、可解释AI等技术将成为AI Agent安全防护的核心手段。3. AI应用供应链安全体系建设AI应用的供应链从大模型、开源框架、低代码平台到第三方插件、工具服务、数据来源层级极深攻击面极广。未来的网络攻击将更多地通过供应链投毒的方式从底层组件入侵AI应用引发大范围的连锁安全事件。建立全链路的AI供应链安全管理体系实现供应链风险的可感知、可追溯、可处置将成为企业AI安全建设的重中之重。结语Flowise CVSS 10.0满分漏洞事件绝不是一次孤立的安全事故而是给整个AI行业敲响的一记警钟。当我们在追逐AI技术带来的效率红利时绝不能将安全抛在脑后。易用性与安全性从来都不是对立的。没有安全作为基石再便捷的AI应用都可能成为黑客入侵的入口给企业和用户带来无法挽回的损失。对于每一个AI开发者而言从部署第一个Flowise实例开始就必须将安全意识刻在骨子里对于每一个AI平台厂商而言必须将“安全优先”融入产品的每一行代码对于整个行业而言必须携手建立统一的安全规范与标准共同守护AI技术的健康发展。AI时代的安全攻防战才刚刚开始。唯有正视风险、主动防御才能让AI技术真正成为驱动产业发展的正能量而非悬在我们头顶的达摩克利斯之剑。