Milioni di agenti AI a rischio per una falla open source critica

Una vulnerabilità critica scoperta nel framework open source Langflow espone milioni di agenti AI a compromissioni remote complete.

Il problema, identificato con il codice CVE-2026-6148, permette a un attaccante non autenticato di eseguire codice arbitrario sui server vulnerabili inviando semplici richieste HTTP verso le API pubbliche della piattaforma.

La scoperta arriva in una fase delicata per il mercato degli agenti AI autonomi: sempre più aziende utilizzano framework low-code e orchestratori LLM per collegare modelli generativi, database, servizi cloud e applicazioni interne.

Langflow, nato come interfaccia visuale per LangChain, è diventato uno dei progetti più diffusi per creare workflow AI basati su nodi grafici e automazioni conversazionali.

Come funziona la falla e perché è così pericolosa

Secondo le analisi pubblicate dai ricercatori, la vulnerabilità interessa il backend Python di Langflow e deriva da una validazione insufficiente nei componenti che gestiscono l’esecuzione dinamica dei flussi AI.

Un attaccante può inviare payload JSON malevoli verso endpoint esposti pubblicamente e ottenere l’esecuzione di comandi direttamente sul server. Il problema coinvolge tutte le versioni precedenti a Langflow 1.4.2, e le istanze vulnerabili risultano facilmente individuabili tramite scansioni automatiche degli endpoint standard della piattaforma.

La criticità è particolarmente elevata perché un agente AI moderno non esegue soltanto inferenza testuale: dispone spesso di privilegi molto estesi, potendo leggere documenti, interrogare database, creare ticket, eseguire codice, inviare email e non solo. Molte installazioni Langflow espongono API pubbliche, girano in container Docker con privilegi elevati e mantengono accesso diretto a chiavi API per servizi come OpenAI, Anthropic, oltre a integrazioni con Kubernetes, GitHub, Slack, PostgreSQL e sistemi RAG aziendali.

Compromettere il framework che coordina questi strumenti significa ottenere accesso trasversale all’intera infrastruttura aziendale, con possibilità di sottrarre segreti, manipolare workflow AI o usare gli agenti compromessi come pivot per movimenti laterali nella rete.

La situazione è aggravata da configurazioni spesso insicure per default: numerosi amministratori espongono direttamente dashboard e API su Internet senza reverse proxy, autenticazione forte o segmentazione di rete, usando container privilegiati, volumi persistenti condivisi e token cloud memorizzati in chiaro. Già nelle ore successive alla divulgazione della vulnerabilità, migliaia di istanze Langflow risultavano direttamente raggiungibili online.

Patch disponibile e cosa fare subito

Gli sviluppatori hanno corretto il problema nella release 1.4.2, introducendo controlli più restrittivi sulla validazione degli input e sulla gestione dell’esecuzione dinamica. Tutte le organizzazioni che utilizzano Langflow dovrebbero aggiornare immediatamente le istanze esposte.

Le misure raccomandate comprendono l’isolamento dei container, la rimozione degli accessi privilegiati, l’autenticazione obbligatoria sulle API, la rotazione delle chiavi AI e la segmentazione di rete. È consigliato anche il monitoraggio attivo delle richieste anomale verso gli endpoint di flow execution e l’uso di gateway API con controllo identità e rate limiting, evitando l’esposizione diretta su Internet delle piattaforme agentiche.

Il caso CVE-2026-6148 evidenzia un problema strutturale nel settore: la velocità di adozione degli strumenti AI supera spesso la maturità della sicurezza applicativa. Gli agenti AI non sono più applicazioni sperimentali ma componenti infrastrutturali critici, con accessi diretti ai sistemi più sensibili delle aziende.