全球广泛使用的开源AI应用搭建平台Flowise近日被曝存在重大安全隐患。360安全团队研发的漏洞挖掘智能体在该平台自动检测出13个未公开的0day漏洞,这些漏洞涉及身份认证绕过、权限提升和跨组织数据泄露等关键安全环节。攻击者若利用这些漏洞,可窃取企业部署的AI模型密钥、篡改核心业务数据,甚至导致整个AI工作流瘫痪。
作为企业级AI基础设施的重要组件,Flowise自2025年被Workday收购后,已深度融入人力资源、财务管理等核心业务场景。该平台支持接入OpenAI、Claude等主流大模型,全球公网部署实例超过3万个,日均处理数百万次AI交互请求。此次发现的安全漏洞表明,当AI平台与关键业务系统深度耦合时,单个组件的漏洞可能引发连锁反应,造成跨系统安全风险。
安全专家指出,Flowise在过去两年虽经历多轮安全审计并修复77个已知漏洞,但此次暴露的深层问题揭示出传统安全检测手段的局限性。360漏洞挖掘智能体通过动态行为分析技术,成功识别出隐藏在复杂业务逻辑中的权限校验缺陷,这类漏洞在静态代码扫描中极易被忽视。该团队已将漏洞详情同步提交至国家信息安全漏洞库,其中8个漏洞获得官方确认,部分高危漏洞已完成修复。
AI应用安全形势正呈现平台化蔓延趋势。除Flowise外,360团队此前在OpenClaw及其衍生产品中也发现23个安全缺陷,涉及模型调用接口、数据传输加密等多个层面。随着AI系统从单一工具向综合性平台演进,安全防护边界不断扩展,传统安全防护体系面临严峻挑战。数据显示,全球主流AI开发框架平均每月新增漏洞数量同比增长47%,其中63%属于高风险等级。
值得关注的是,AI漏洞挖掘技术已引发军事安全领域关注。美国国家安全机构正在研究将大型语言模型的漏洞发现能力转化为攻防武器,这种技术若被恶意利用,可能颠覆现有网络安全防御体系。360安全团队负责人表示,当前AI安全防御必须建立"检测-响应-修复"的闭环机制,其研发的智能体已形成覆盖传统软件和AI生态的漏洞发现能力,累计发现各类安全漏洞超千个。
针对日益严峻的AI安全形势,安全专家建议政企用户立即对部署的AI平台开展专项安全评估,重点检查身份认证、权限管理和数据流转等关键环节。同时呼吁建立AI安全标准体系,要求AI平台供应商提供完整的安全审计报告和漏洞修复方案。随着AI技术深度融入生产系统,自动化安全检测能力将成为企业数字化转型的必备基础设施。
