当前位置:首页 > 信息安全 > 正文

CNNVD:人工智能重要漏洞通报(2026年第二期)

CNNVD:人工智能重要漏洞通报(2026年第二期) 第1张




漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,近期(2026年1月12日至2026年3月3日)共采集重要人工智能漏洞255个,CNNVD对这些漏洞进行了收录。本周人工智能类漏洞主要涵盖了谷歌、IBM、微软等多个厂商。CNNVD对其危害等级进行了评价,其中超危漏洞27个,高危漏洞48个,中危漏洞180个。 

人工智能漏洞增长数量情况

近期CNNVD采集人工智能漏洞255个。
CNNVD:人工智能重要漏洞通报(2026年第二期) 第2张


图1 近五周漏洞新增数量统计图

人工智能漏洞具体情况

近期共采集人工智能漏洞255个,包括谷歌、IBM、微软等多个厂商的漏洞。其中超危漏洞27个,高危漏洞48个,中危漏洞180个。具体如表1所示:

表1 人工智能漏洞列表

CNNVD:人工智能重要漏洞通报(2026年第二期) 第3张

重要人工智能漏洞实例

近期重要漏洞实例如表2所示。

表2 本期重要漏洞实例

CNNVD:人工智能重要漏洞通报(2026年第二期) 第4张
1. Langflow 安全漏洞(CNNVD-202602-4530)
Langflow是一个开源的用于构建多代理和RAG应用程序的可视化框架。
Langflow 1.8.0之前版本存在安全漏洞,该漏洞源于在创建CSVAgent时将allow_dangerous_code参数硬编码为True,导致系统自动启用LangChain的python_repl_ast工具,攻击者利用该漏洞可以远程执行代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://github.com/langflow-ai/langflow/releases
2. Cursor 安全漏洞(CNNVD-202602-2275)
Cursor是一款开源的深度集成AI的智能代码编辑器。
Cursor 2.5之前版本存在安全漏洞,该漏洞源于允许通过写入.git配置实现沙箱逃逸,攻击者利用该漏洞可以远程执行代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://cursor.com/
3. AutoGPT 授权问题漏洞(CNNVD-202602-2072)
AutoGPT是一个开源的自主智能代理框架,具有目标驱动的任务拆解、自动规划执行以及工具调用等功能。
AutoGPT 0.6.48之前版本存在授权问题漏洞,该漏洞源于图形验证未强制执行禁用标志,允许经过身份验证的用户绕过限制,攻击者利用该漏洞可以远程执行代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://github.com/Significant-Gravitas/AutoGPT/releases




(来源:CNNVD)


相关文章

最新文章