Popüler açık kaynak yapay zeka platformu Flowise'de kritik bir güvenlik açığı (CVE-2026-40933) keşfedildi. Obsidian Security tarafından yapılan analize göre, bu açık, oturum açmış bir kullanıcının kötü niyetli bir workflow dosyasını içe aktarmasıyla saldırganın sunucuyu tamamen ele geçirmesine izin veriyor. Flowise, 52.000'den fazla GitHub yıldızına sahip, LLM iş akışları ve AI ajanları oluşturmak için yaygın olarak kullanılan bir platformdur. Kendi kendine barındırılan (self-hosted) dağıtımlar varsayılan olarak savunmasızken, yönetilen Flowise Cloud hizmeti etkilenmiyor. Araştırma, Obsidian'ın daha önce başka bir açık kaynak AI platformu olan Langflow'da keşfettiği benzer bir RCE açığına dayanıyor.
Güvenlik açığı, Flowise'in Custom MCP aracında yatıyor. Bu özellik, kullanıcıların harici hizmetleri Model Context Protocol (MCP) ile bağlamasına olanak tanır. 'stdio' taşıma modu kullanıldığında, araç kullanıcı tarafından sağlanan bir komutu Flowise sunucusunda alt işlem olarak çalıştırıyor ve hiçbir kum havuzu (sandbox) koruması bulunmuyor. Flowise, bu iş akışlarını (chatflow) dışa aktarıp paylaşmaya izin verdiğinden, bir saldırgan kötü niyetli bir komutu workflow dosyasına gizleyebiliyor.
Obsidian Security, sadece böyle bir chatflow'u içe aktarmanın bile komutun çalışması için yeterli olduğunu buldu. Bunun nedeni, editörün workflow yüklendiğinde otomatik olarak yapılandırılmış sunucuyu sorgulaması. Çalıştırmadan önce herhangi bir kaydetme, çalıştırma veya onay adımı gerekmiyor. Bu, açığı özellikle tehlikeli kılıyor çünkü kullanıcının farkında olmadan zararlı bir dosyayı açması yeterli.
Flowise, açığa yanıt olarak, izin verilen komutları beyaz listeye alan ve riskli argümanları engelleyen bir girdi doğrulama katmanı ekledi. Ancak Obsidian, bunun semptomu tedavi ettiğini, nedeni değil, çünkü özellik zaten kod çalıştırmak için tasarlanmış. Saldırgan, izin verilen girdi içinde hala kötü niyetli davranış sergileyebiliyor. Bu nedenle, mevcut sürümde bile kendi kendine barındırılan kurulumlar varsayılan olarak savunmasız kalıyor.
Obsidian, en etkili korumanın, stdio taşımasını devre dışı bırakmak olduğunu belirtiyor. Custom MCP protokolünü Server-Sent Events (SSE) olarak değiştirmek, kodun çalıştırılma yolunu tamamen ortadan kaldırıyor. Eğer ekipler bu özelliğe ihtiyaç duyuyorsa, içe aktarılan her MCP yapılandırmasını kod olarak ele almaları, yalnızca güvenilir kaynaklardan kullanmaları ve bilinmeyen kaynaklardan gelen paylaşılmış chatflow'ları yüklemekten kaçınmaları öneriliyor.
Detaylar ve Etkileri
Bu güvenlik açığı, yapay zeka platformlarının güvenliğinin ne kadar kritik olduğunu bir kez daha gösteriyor. Özellikle açık kaynak ve kendi kendine barındırılan çözümler, hızlı yama yayınlansa bile risk altında olabiliyor. Kullanıcıların, platformlarını güncel tutmanın yanı sıra, gereksiz özellikleri devre dışı bırakmaları ve güvenlik araştırmalarını yakından takip etmeleri büyük önem taşıyor.
Kaynak: infosecurity-magazine.com