在 Network-AI npm 包中发现了一个严重的安全漏洞,CVE-2026-46701。该包是 AI 代理的编排层。该漏洞允许任何网页静默调用所有 22 个暴露的 MCP 工具,包括那些可以任意更改配置、生成新代理、破坏共享状态或撤销合法代理令牌的工具。该漏洞被评为高危,攻击复杂度低,无需任何权限,其根源在于本地 MCP 服务器默认的空密钥和宽松的 CORS 设置。 AI
影响 此漏洞凸显了 AI 代理编排生态系统中日益增长的安全风险,可能会影响与 Network-AI 集成的工具。
排序理由 披露了一个针对 AI 代理编排包的特定 CVE。 [lever_c_demoted from research: ic=1 ai=1.0]
- AutoGen
- CrewAI
- CVE-2026-46701
- CWE-346
- LangChain
- LlamaIndex
- MCP
- Network-AI
- Node.js
- OpenAI Assistants
- TypeScript
AI 生成摘要 · Google Gemini · 来自 1 个来源。 我们如何撰写摘要 →