威脅行為者可以利用 CrewAI 中的四個漏洞進行連鎖攻擊，包括遠端程式碼執行等各種類型的攻擊。CrewAI 是一個基於 Python 的開源多智能體編排框架，支援創建多智能體 AI 系統，這些系統可以協作完成開發人員定義的特定任務和工作流程。

Cyata 的 Yarden Porat 發現的這四個問題都與程式碼解釋器工具的使用有關，該工具使用戶能夠在安全的 Docker 容器內執行 Python 程式碼。第一個漏洞（編號為 CVE-2026-2275）的出現是因為當無法存取 Docker 時，程式碼解釋器工具會回退到 SandboxPython。

CERT/CC 的公告解釋說，如果在代理配置中設定了啟用程式碼執行的標誌，或者開發人員手動添加了程式碼解釋器工具，則此行為可能導致透過任意 C 函數呼叫執行程式碼。成功利用 CVE 漏洞可能會使攻擊者觸發其他三個漏洞，這些漏洞是由不正確的預設配置設定引起的。

其中一個漏洞 CVE-2026-2286 被描述為伺服器端請求偽造 (SSRF) 漏洞，攻擊者可以利用該漏洞從內部服務和雲端服務中檢索內容。該漏洞的存在是因為 RAG 搜尋工具在運行時未能正確驗證提供的 URL。

接下來是 CVE-2026-2287，這是一個由 CrewAI 未能正確檢查 Docker 是否仍在運行時運行，並回退到啟用遠端程式碼執行的沙箱設定而導致的漏洞。

最後，CVE-2026-2285 是一個任意本機檔案讀取缺陷，影響 JSON 載入器工具，該工具在讀取檔案時不會驗證路徑，從而允許存取伺服器上的任意檔案。

攻擊者可以透過直接或間接的提示注入，影響使用程式碼解釋器工具的 CrewAI 代理，從而將這四個問題串聯起來。成功利用這些安全漏洞可能使攻擊者逃逸沙箱，並在宿主機上執行程式碼或讀取其檔案系統中的檔案。這些漏洞也可能被用於竊取憑證。

雖然尚未發布修補程式來完全解決這些漏洞，但 CrewAI 的維護人員正在努力透過阻止某些模組、更改配置以在失敗時關閉而不是回退、更清晰的執行時間警告以及更新安全相關文件來解決這些漏洞。移除或限制代碼解釋器工具，除非必要，否則禁用代碼執行標誌，限制代理接觸不受信任的輸入並應用輸入清理，以及防止回退到不安全的沙箱模式，應該可以緩解這些錯誤。

資料來源：https://www.securityweek.com/crewai-vulnerabilities-expose-devices-to-hacking/