Kritisk sårbarhet i AI-verktyget Flowise: En importerad fil kan ge angripare full kontroll över din server

En sårbarhet som sätter AI-ekosystemet på prov

Flowise har blivit ett av de mest älskade verktygen för alla som vill bygga AI-agenter och språkmodellsflöden utan att skriva varje rad kod från grunden. Med över 52 000 stjärnor på GitHub och ett intuitivt drag-och-släpp-gränssnitt är det en självklar startpunkt för många utvecklare och företag som vill experimentera med stora språkmodeller. Att just det här verktyget nu drabbats av en kritisk säkerhetsbrist är därför allvarligt — och värt att ta på stort allvar.

Sårbarheten har registrerats som CVE-2026-40933 och fått poängen 9,9 av 10 i det standardiserade allvarlighetssystemet CVSS. Det är nästan maximalt. Enligt SecurityWeek ligger roten till problemet i en designmässig brist i Anthropics MCP-protokoll (Model Context Protocol) — ett protokoll som används för att låta AI-agenter kommunicera med externa verktyg och tjänster. Bristen sprider sig som ringar på vatten genom hela ekosystemet av verktyg som förlitar sig på protokollet, och Flowise är ett av de mest exponerade.

Så enkel är attacken

Det som gör den här sårbarheten särskilt oroande är hur liten ansträngning en angripare behöver lägga ner. Säkerhetsföretaget Obsidian Security har publicerat fungerande angreppskod och visat att metoden är förfärande enkel: en angripare skapar ett manipulerat chattflöde i JSON-format och övertygar sedan en användare att importera det i Flowise.

Därifrån tar attacken hand om sig själv. Så snart flödet öppnas på arbetsytan försöker Flowise automatiskt hämta tillgängliga verktyg från den konfigurerade MCP-servern — och det är i exakt det steget som den skadliga koden körs. Offret behöver inte klicka på något ytterligare, inte godkänna något, inte installera någonting. Importen räcker.

Amerikanska standardinstitutet NIST beskriver kärnan i problemet som osäker hantering av kommandon i MCP-adaptern. I praktiken innebär det att versioner av Flowise före 3.1.0 tillåter vilken användare som helst att lägga till en ny MCP-server och därigenom injicera godtyckliga kommandon som sedan körs direkt på det underliggande operativsystemet. Det är fullständig serverkontroll med förvånansvärt liten insats.

Varför det händer just nu

Det vore lätt att peka finger enbart mot Flowise, men det vore att missa den större bilden. Vi befinner oss mitt i en period av exceptionellt snabb AI-utrullning. Nya ramverk, protokoll och integrationslager dyker upp varje månad, och ekosystemet byggs i ett tempo där säkerhetsgranskning lätt hamnar i skymundan för funktionalitet och lanseringspress.

MCP-protokollet, som ligger till grund för den här bristen, är ett tydligt exempel. Det är ett relativt nytt protokoll som snabbt blivit en de facto-standard för hur AI-agenter kopplar upp sig mot omvärlden. Men protokollets snabba spridning innebär också att designbrister i grunden ärvs av alla som bygger ovanpå det — precis som vi ser här.

Det är en bekant dynamik för alla som följt säkerhetsutvecklingen i öppen källkod. Popularitet och spridningstakt är inte samma sak som mognad och robusthet. Ju fler som bygger vidare på ett fundament, desto viktigare — och svårare — blir det att rätta till grundläggande brister i efterhand.

Vad du bör göra nu

Om du eller ditt team använder Flowise är rekommendationen tydlig: uppgradera omedelbart till version 3.1.0 eller senare. Det är den version där sårbarheten är åtgärdad.

Darüber hinaus är det värt att se över vilka flöden och JSON-konfigurationer som importeras i era miljöer. Precis som man aldrig bör köra okänd kod från internet bör man inte heller importera okända flödesdefinitioner — oavsett hur oskyldigt ett JSON-dokument ser ut.

Den här incidenten bör också fungera som en väckarklocka för organisationer som bygger AI-lösningar på öppna ramverk: säkerhetsgranskning och beroendehantering måste vara en integrerad del av arbetsflödet, inte en eftertanke.