Flowise ranjivost pokazuje koliko su AI alati postali meta

AI WORKFLOW NIJE SAMO PLATNO S ČVOROVIMA

Flowise je popularan open-source alat za vizualnu izgradnju AI workflowa, chatbotova i agenata. Korisnik na platnu spaja modele, alate, baze dokumenata, API pozive i logiku koja zatim radi na serveru. Upravo zato kritična ranjivost u Flowiseu nije samo problem sučelja. Ako napadač dođe do izvršavanja koda na takvom sustavu, potencijalno dodiruje infrastrukturu koja ima pristup ključevima, internim podacima i automatizacijama.

Ranjivost se vodi kao CVE-2025-59528 i povezana je s Flowise verzijom 3.0.5. GitHub sigurnosni advisory opisuje problem u CustomMCP čvoru: konfiguracijski unos za spajanje na vanjski MCP server obrađuje se tako da korisnički tekst može završiti u JavaScript izvršavanju. Jednostavno rečeno, alat koji bi trebao čitati konfiguraciju može biti natjeran da pokrene kod.

To je razlog za maksimalnu ozbiljnost. Ne radi se o kozmetičkom bugu, krivom prikazu ili običnom padu aplikacije. Kod koji se izvršava u Node.js okruženju može, ovisno o postavkama sustava, pristupati datotekama, pokretati procese i dirati ono što server vidi. Za AI alat to posebno boli jer takvi sustavi često čuvaju API ključeve za modele, pristupe vektorskim bazama i konekcije prema internim alatima.

Dobra vijest je da zakrpa postoji od Flowisea 3.0.6. Još bolja operativna preporuka je ne stati samo na minimalnoj verziji: stranica GitHub izdanja pokazuje da su dostupne i novije 3.1.x verzije. Za administratore je poruka kratka: ako imate Flowise 3.0.5, taj sustav treba tretirati kao incident dok se ne potvrdi suprotno.

PATCH NIJE GOTOV DOK INSTANCE OSTAJU JAVNE

Razlog za novu uzbunu nije samo stari advisory. BleepingComputer izvijestio je da je VulnCheckova Canary mreža vidjela aktivno iskorištavanje CVE-2025-59528. Aktivnost je u tom trenutku izgledala ograničeno, ali istraživači su upozorili na otprilike 12.000 do 15.000 Flowise instanci izloženih na internetu. Ne zna se koliko ih je ranjivo, ali za napadače je i manji postotak dovoljan razlog za automatizirano skeniranje.

Ovdje je važno jednostavno objašnjenje. Zakrpa u repozitoriju ne znači da je sustav zaštićen. Self-hosted alati se ne ažuriraju sami. Netko mora znati da instanca postoji, provjeriti verziju, napraviti update, restartati servis, pogledati logove i rotirati tajne ako postoji sumnja da je sustav već dodirnut. U AI prototipovima taj zadnji korak često izostane jer je alat “samo za testiranje”, a zatim mjesecima ostane iza reverznog proxyja.

Flowise incident zato treba čitati kao signal za cijeli AI opskrbni lanac. Rasprava o AI sigurnosti često se vrti oko prompt injectiona, jailbreakova i curenja modela. Ovaj slučaj je prizemniji: klasičan backend bug u alatu koji povezuje modele s vanjskim sustavima. Napadač ne mora uvjeriti model da napravi nešto glupo ako može napasti cijevi kroz koje model dobiva alate i podatke.

Praktičan odgovor ne mora biti dramatičan. Nadograditi na sigurnu verziju. Maknuti Flowise s javnog interneta ako javni pristup nije potreban. Staviti ga iza VPN-a, SSO-a ili barem stroge mrežne kontrole. Provjeriti logove za neobične pozive prema CustomMCP i node-load metodama. Rotirati API ključeve koji su bili dostupni toj instanci. Popis je dosadan, ali upravo takva dosada sprječava da AI alat postane ulaz u ostatak infrastrukture.

Zaključak je jednostavan: AI orkestracija je sada produkcijski softver. Čim alat ima pristup modelima, dokumentima, ključevima i akcijama, više nije igračka za brze demo projekte. Flowise bug samo je podsjetnik da se nova AI ekonomija još uvijek oslanja na stare sigurnosne temelje: patch management, izolaciju, tajne i logove.