网络安全研究人员近日发现Flowise低代码平台存在严重安全隐患攻击者可通过自定义MCP节点向系统注入任意JavaScript代码。该平台广泛用于快速构建定制化大语言模型LLM和AI Agent系统。System Warning Caution Sign on Smartphone, Scam Virus Attack on Firewall for Notification Error and Maintenance. Network Security Stock Image - Image of maintenance, illegal: 271136697漏洞概述这一设计缺陷被评为最高严重级别CVSS 10.0源于平台自定义MCP节点插件连接器。该节点允许AI Agent通过MCP服务器与外部工具通信。VulnCheck最新警报显示黑客已开始在野外利用该漏洞约1.2万至1.5万个Flowise实例暴露在公共互联网上。 漏洞已在3.0.6版本中修复最新3.1.1版本于上月正式发布。未及时更新的实例仍面临高风险。技术细节MCP配置验证严重缺失Flowise支持用户通过拖拽方式构建LLM工作流用户只需将自定义MCP节点拖入流程并粘贴JSON配置即可连接外部MCP服务器。Flowise : Build AI Agents And LLM Workflows Visually - OSTechNix问题核心在于3.0.5及更早版本中自定义MCP节点对用户提供的配置未进行任何恶意代码验证。美国国家漏洞数据库NVD明确指出“节点在解析用户提供的mcpServerConfig字符串时直接将输入传递给Function()构造函数导致未经安全验证的JavaScript代码被立即执行。该函数以完整Node.js运行时权限运行可随意调用child_process、fs等高危模块。”该漏洞编号为CVE-2025-59528被归类为“代码生成控制不当代码注入”类型。What is RCE vulnerability? Remote code execution meaning攻击现状黑客已开始针对未修复实例发起真实攻击尽管补丁已发布数月VulnCheck仍在4月6日首次监测到野外利用。漏洞情报公司安全研究副总裁Caitlin Condon在LinkedIn发文警告“今天凌晨VulnCheck Canary网络检测到CVE-2025-59528的首次利用活动攻击源自单个Starlink IP。目前仍有约12000-15000个实例暴露。”Condon同时提及Flowise另外两个高危漏洞身份验证缺失CVE-2025-8943任意文件上传CVE-2025-26319这些漏洞也已被Canary网络监测到活跃利用。完整攻击载荷、PCAP文件、YARA规则及Docker容器特征已向相关客户开放。Leveraging AI for enhanced cybersecurity: a comprehensive review | Discover Applied Sciences | Springer Nature Link安全建议立即升级至Flowise 3.1.1或更高版本关闭不必要的公共暴露端口定期审计自定义节点配置使用WAF或容器隔离运行AI工作流该事件再次提醒在AI Agent快速发展的同时底层平台的安全验证机制必须同步强化。开发者在使用低代码工具时务必优先检查版本更新与安全补丁。