Популярный фреймворк CrewAI, используемый разработчиками для создания и оркестрации систем с множеством взаимодействующих искусственных интеллектов, оказался подвержен цепочке критических уязвимостей. Их эксплуатация позволяет злоумышленникам выводить агентов из защищённых песочниц и получать контроль над хост-системой. Это создаёт прямую угрозу для компаний, внедряющих сложные мультиагентные ИИ-решения для автоматизации бизнес-процессов, анализа данных и взаимодействия с клиентами.
Детали уязвимостей
Исследователь в области кибербезопасности Ярден Порат из компании Cyata обнаружил четыре уязвимости, которые в совокупности открывают путь к удалённому выполнению кода, подделке межсайтовых запросов и несанкционированному чтению локальных файлов. Основная опасность исходит от механизмов небезопасного восстановления и ошибочных конфигураций как в самом агенте CrewAI, так и в его окружении Docker.
Центром проблемы стал встроенный "Инструмент интерпретатора кода", предназначенный для безопасного выполнения Python-кода. Именно через него, используя методы прямого или косвенного внедрения вредоносных инструкций в промпты, атакующий может спровоцировать остальные уязвимости. Цепочка атаки начинается с манипуляции ИИ-агентом, который, следуя скомпрометированным инструкциям, использует уязвимые функции фреймворка для эскалации привилегий.
Обнаруженные уязвимости получили следующие идентификаторы в системе CVE. Во-первых, CVE-2026-2275 связана с автоматическим переходом "Интерпретатора кода" на уязвимую среду SandboxPython в случае недоступности Docker, что позволяет выполнять произвольные вызовы C-функций. Во-вторых, CVE-2026-2286 представляет собой уязвимость типа SSRF в инструментах поиска с использованием RAG, которые некорректно проверяют URL-адреса, что открывает доступ к внутренним и облачным сервисам. В-третьих, CVE-2026-2287 заключается в том, что CrewAI не осуществляет постоянную проверку работы Docker во время выполнения, из-за чего система по умолчанию переходит в небезопасный режим песочницы, допускающий RCE. Наконец, CVE-2026-2285 позволяет читать локальные файлы через инструмент загрузки JSON из-за отсутствия проверки путей.
Эксплуатация напрямую зависит от активности "Интерпретатора кода". В случае успешной компрометации агента последствия определяются конфигурацией хоста. Если на машине используется Docker, атакующий может обойти песочницу. Если же система работает в конфигурационном или небезопасном режимах, результатом становится полный захват устройства путём удалённого выполнения кода. Это открывает путь к хищению учётных данных, доступу к более глубоким сегментам корпоративной сети, установке программ-вымогателей или созданию плацдарма для последующих атак.
На данный момент единого патча, закрывающего все четыре проблемы, не существует. Разработчик фреймворка признал наличие уязвимостей и анонсировал планы по выпуску обновлений. Запланированные изменения включают блокировку небезопасных модулей, таких как ctypes, и пересмотр логики восстановления - система должна завершаться с ошибкой, а не переходить в открытый небезопасный режим. Однако до выхода официальных исправлений ответственность ложится на администраторов.
В качестве срочных защитных мер специалистам рекомендуется полностью отключить "Инструмент интерпретатора кода" в CrewAI, если его функционал не является критически важным для работы системы. Кроме того, необходимо убедиться, что настройка "allow_code_execution=True" деактивирована. Крайне важным становится строгий контроль и санация всех входящих данных, которые обрабатывают ИИ-агенты, поскольку вектор атаки строится на инъекции в промпты. Параллельно командам безопасности следует усилить мониторинг доступности и состояния службы Docker, чтобы предотвратить неявный переход системы в уязвимый режим работы.
Этот инцидент высвечивает ключевые риски, присущие сложным автономным ИИ-системам. Безопасность таких платформ не должна ограничиваться лишь изоляцией в песочнице. Требуется глубокая защита на уровне архитектуры, включающая строгий контроль целостности конфигураций, минимализацию привилегий для каждого агента и тщательный аудит логики обработки исключений. Падение в небезопасный режим при сбое основного защитного механизма - классическая ошибка проектирования, которая в данном случае может иметь серьёзные последствия для бизнеса, полагающегося на автоматизацию с помощью ИИ.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-2275
- https://www.cve.org/CVERecord?id=CVE-2026-2285
- https://www.cve.org/CVERecord?id=CVE-2026-2286
- https://www.cve.org/CVERecord?id=CVE-2026-2287
- https://kb.cert.org/vuls/id/221883
