Lỗ hổng CVE trong Flowise và nhiều framework AI đang phơi lộ nguy cơ remote code execution (RCE) trên diện rộng, theo phân tích của OX Security. Vấn đề bắt nguồn từ Model Context Protocol (MCP), một chuẩn giao tiếp được dùng phổ biến cho AI agents.
Lỗ hổng CVE trong Model Context Protocol (MCP)
Khác với lỗi phần mềm thông thường, lỗ hổng CVE này xuất phát từ một quyết định thiết kế kiến trúc nằm trong các SDK MCP chính thức của Anthropic, bao gồm Python, TypeScript, Java và Rust. Do đó, mọi ứng dụng được xây dựng trên nền MCP đều có thể thừa hưởng bề mặt tấn công này.
Ảnh hưởng không chỉ giới hạn ở một nền tảng đơn lẻ mà lan sang toàn bộ chuỗi cung ứng AI. Đây là một lỗ hổng CVE có tác động hệ sinh thái, làm tăng nguy cơ bảo mật cho các dịch vụ AI tích hợp MCP.
Liên kết tham chiếu
Tham khảo thêm thông tin chuẩn hóa về mối đe dọa tương tự trên NVD: https://nvd.nist.gov/
Tác động của lỗ hổng CVE lên hệ thống
Kẻ tấn công có thể thực thi lệnh tùy ý trên hệ thống dễ tổn thương, từ đó truy cập trực tiếp vào dữ liệu người dùng, cơ sở dữ liệu nội bộ, API keys và chat histories. Đây là dạng remote code execution có mức ảnh hưởng nghiêm trọng đến an toàn thông tin.
Trong nghiên cứu, OX Security đã thực thi thành công lệnh trực tiếp trên 6 nền tảng production. Flowise, một công cụ xây dựng AI workflow mã nguồn mở, nằm trong nhóm bị ảnh hưởng đáng kể nhất.
Đặc biệt, nhóm nghiên cứu xác định một vector tấn công dạng hardening bypass nhắm vào Flowise. Điều này cho thấy ngay cả môi trường đã bật thêm lớp bảo vệ vẫn có thể bị khai thác thông qua giao diện MCP adapter.
Quy mô ảnh hưởng của lỗ hổng CVE
Phạm vi ảnh hưởng được mô tả là rất lớn với hơn 150 triệu lượt tải, hơn 7.000 máy chủ công khai và khoảng 200.000 instance dễ bị tấn công trong hệ sinh thái.
Ít nhất 10 CVE đã được phát hành cho các nền tảng liên quan, bao gồm LiteLLM, LangChain, GPT Researcher, Windsurf, DocsGPT và LangFlow của IBM. Đây là dấu hiệu cho thấy lỗ hổng CVE đã lan rộng qua nhiều lớp triển khai AI.
Các nhóm khai thác đã được xác nhận
- Đã xác nhận 4 nhóm khai thác riêng biệt.
- Khả năng thực thi arbitrary commands trên hệ thống đích.
- Khả năng bypass hardening ở một số cấu hình MCP adapter.
- Rủi ro lan truyền qua nhiều framework và SDK cùng dùng MCP.
Ảnh hưởng tới vận hành và dữ liệu
Với lỗ hổng CVE này, hệ thống có thể bị xâm nhập trái phép và dẫn đến lộ thông tin nhạy cảm. Bất kỳ thành phần nào sử dụng MCP SDK đều cần được xem xét trong phạm vi phát hiện xâm nhập và rà soát cấu hình.
OX Security cho biết đã nhiều lần khuyến nghị các bản vá ở mức root-level để bảo vệ người dùng downstream. Tuy nhiên, phản hồi được ghi nhận là hành vi này được xem là “expected”, nên việc khắc phục không được triển khai theo hướng mà nhóm nghiên cứu kỳ vọng.
Biện pháp kiểm tra và giảm thiểu rủi ro bảo mật
Các đội ngũ an ninh nên ưu tiên đánh giá toàn bộ cấu hình MCP, đặc biệt là các triển khai STDIO MCP có chứa input từ người dùng. Đây là điểm mà OX Security đã đưa vào cảnh báo remediations ở cấp nền tảng cho khách hàng của họ.
Trong thực tế vận hành, cập nhật bản vá và kiểm tra đường đi của input là hai bước quan trọng để giảm rủi ro bảo mật. Với những hệ thống đã tích hợp MCP vào pipeline AI, cần rà soát lại quyền thực thi, quyền truy cập dữ liệu và phạm vi lệnh được phép chạy.
Điểm cần kiểm tra trong triển khai MCP
- Rà soát các STDIO MCP configurations có nhận input từ người dùng.
- Kiểm tra quyền truy cập tới API keys và kho dữ liệu nội bộ.
- Xác nhận các bản vá bảo mật đã được áp dụng cho framework AI liên quan.
- Giám sát dấu hiệu remote code execution hoặc lệnh bất thường.
IOC liên quan
- Flowise – nền tảng bị ảnh hưởng đáng kể.
- LiteLLM – nằm trong nhóm có CVE liên quan.
- LangChain – nằm trong nhóm có CVE liên quan.
- GPT Researcher – nằm trong nhóm có CVE liên quan.
- Windsurf – nằm trong nhóm có CVE liên quan.
- DocsGPT – nằm trong nhóm có CVE liên quan.
- LangFlow – nền tảng liên quan của IBM.
Trọng tâm kỹ thuật của lỗ hổng CVE
Điểm đáng chú ý của lỗ hổng CVE này là nó không phụ thuộc vào một lỗi cài đặt cục bộ, mà nằm trong cơ chế thiết kế của MCP. Điều đó làm cho phạm vi ảnh hưởng trở nên rộng hơn so với các lỗi đơn lẻ ở từng ứng dụng.
Khi các framework AI tiếp tục mở rộng sử dụng MCP, lỗ hổng CVE sẽ là một vấn đề an toàn thông tin cần được theo dõi chặt chẽ ở cả lớp SDK, adapter và môi trường triển khai production.
