阿凱📝 主編觀點 · 週末反思 — 退一步看整個 AI 產業,思考更大的問題
AI Agent 的框架都在漏,你還在把公司的 API Key 放在上面跑?
Check Point Research 上週發了一份報告,直接點名 Langflow、LangGraph、LangChain 這三個目前最主流的 AI Agent 開發框架,全都存在嚴重安全漏洞。不是理論上的風險,是已經發生的攻擊——7,000 台 Langflow 伺服器被打穿,攻擊者拿到 Shell 之後,翻走的不是什麼神秘檔案,而是你的 OpenAI API Key、資料庫密碼、還有 CRM Token。
同一時間,另一個叫 AutoJack 的漏洞在 Hacker News 上炸鍋。只要你的 AI Agent 會幫你開瀏覽器、讀網頁,攻擊者就能透過一個惡意網頁,直接對你的主機執行遠端程式碼。不需要你點什麼奇怪的連結,Agent 自己去讀網頁,就等於幫攻擊者開門。
這兩件事放在一起看,代表同一個根本問題:整個 AI Agent 的生態系,是在安全意識還沒跟上的狀態下衝出來的。
過去幾年,Web 開發社群花了大量時間建立 input validation、最小權限原則、secrets management 這些基礎習慣。結果 AI Agent 這一波興起,很多開發者直接跳過了這整個學習曲線——把 API Key 硬寫進環境變數、讓 Agent 帶著系統級別的權限去爬網頁、用 Langchain 快速搭一個 demo 就直接對外開放。
這不是在罵開發者不小心,而是框架本身根本沒有把安全設計放進預設行為裡。Langflow 讓任何人都能透過公開 API 觸發程式碼執行,這個設計決策從一開始就是定時炸彈。
更現實的問題是:很多公司的 AI Agent 專案,現在是由沒有資安背景的 PM 或資料科學家在推動的。他們用 Python 串了一個 Langchain workflow,接上公司的 Salesforce,然後部署在一台誰都能連進來的伺服器上。攻擊者不需要高超技術,只需要掃一下 Shodan,挑一台跑著舊版 Langflow 的機器,剩下的事情 PoC 都幫你寫好了。
AI 能力的競賽跑得很快,但安全的地基還在趕工中。這中間的空窗期,值得每個正在用這些框架蓋東西的人認真對待一下。
