独家！360漏洞挖掘智能体发现Flowise平台13个0day漏洞

当AI Agent、RAG知识库、多智能体工作流开始进入企业生产环境，一个新的安全问题正在变得越来越紧迫：构建这些AI应用的平台，本身安全吗？



近日，360漏洞挖掘智能体在全球广泛使用的开源AI应用搭建平台Flowise中自动发现13个0day漏洞，涉及身份认证、权限控制、跨组织访问等关键安全边界。相关漏洞若被利用，攻击者可能窃取企业AI模型密钥、篡改业务数据或干扰系统运行。目前，相关漏洞已按流程上报中国国家信息安全漏洞库（CNNVD）并同步反馈项目方，其中8个漏洞已获确认，部分已完成修复。

360漏洞挖掘智能体发现Flowise平台0day漏洞报告



Flowise不是小众工具，而是企业AI应用底座



Flowise GitHub星标超过5.3万，并非小众开源工具，而是正在进入企业生产环境的AI基础设施。



自2025年8月被企业软件巨头Workday收购后，Flowise被纳入HR、财务等核心业务场景的AI Agent能力版图，已处理数百万次聊天和工作流，并支持接入OpenAI、Claude、Gemini、DeepSeek、Ollama等主流模型，可通过API或嵌入组件快速集成到企业业务系统中。



这意味着，Flowise这类平台已经不只是开发者工具，而是连接模型能力、企业数据、业务流程、组织权限和应用系统的关键底座。一旦平台自身出现安全边界失效，风险影响的就不再是单点功能，而可能波及企业AI应用链路中的模型密钥、知识库文档、数据库凭据、业务流程和组织权限等核心资产。



更值得警惕的是，互联网测绘数据显示，公网上可见的Flowise实例已超过3万个。通俗来说，这意味着大量Flowise服务可以被互联网直接扫描到。由于这些实例背后可能连接大模型、知识库、数据库和业务系统，一旦漏洞被利用，风险可能沿AI工作流扩散，对政企用户构成严重威胁。



13个0day，暴露AI应用平台的新风险



此次360漏洞挖掘智能体发现的13个0day，集中指向Flowise在身份认证、权限校验、跨工作区隔离、跨组织访问控制等方面的安全边界问题。



从风险类型来看，这些漏洞大致可以归纳为三类：



第一类是数据边界失效。部分接口存在未授权访问风险，攻击者在特定条件下可能读取或伪造提交数据，造成敏感信息泄露，甚至污染企业业务数据。



第二类是工作区与组织边界失效。凭证、文件、向量库、聊天流程等关键对象如果在归属校验上存在缺口，攻击者可能跨工作区访问、修改或删除他人数据，甚至借用他人保存的模型密钥调用相关服务。



第三类是企业治理能力失效。角色管理、单点登录配置、登录审计、组织信息更新等企业级功能一旦存在越权风险，可能导致权限模型被破坏、安全日志泄露，甚至影响企业对AI应用平台的统一管理。



这些问题并非传统意义上的单点代码缺陷，而是隐藏在复杂业务逻辑、多角色协作和多组织治理链路中的“边界失效”。值得注意的是，Flowise过去两年已修复约77个漏洞，经历了安全厂商、社区开发者和AI工具的多轮审计。360漏洞挖掘智能体此次仍能自动批量发现13个0day，说明AI平台的复杂权限链路中，仍存在传统静态扫描和人工审计难以覆盖的深层盲区。

这也正是360漏洞挖掘智能体的价值所在：它并非只做简单代码扫描，而是将大模型能力、安全专家经验、漏洞知识库、自动化验证流程和多智能体协同机制结合起来，对复杂系统开展更接近真实攻防场景的安全审计。对于已经将AI平台接入生产环境的政企客户而言，一处边界缺口，就可能演变为通往企业核心数据与业务系统的入口。



从OpenClaw到Flowise，360正在为AI生态做“防御性体检”



这并不是360漏洞挖掘智能体第一次在AI智能体生态中发现系统性风险。



此前，360漏洞挖掘智能体已针对OpenClaw及10款衍生智能体产品开展系统化安全研究，发现并确认23个独立漏洞，涉及远程控制、权限绕过、信息泄露、恶意指令注入等多类风险。



如果说OpenClaw代表的是“AI智能体本身是否安全”，那么Flowise进一步指向另一个更底层的问题：构建AI应用的平台本身是否安全。



从智能体产品到开发框架，再到AI应用平台，AI应用正从单一工具走向平台化，安全盲区也在同步暴露。过去，行业更多关注模型越狱、提示词注入、内容安全；现在，随着AI Agent、RAG平台、低代码AI开发平台、多智能体工作流加速落地，真正的风险正在从“模型安全”延伸到“AI生态基础设施安全”。



面对这一趋势，360漏洞挖掘智能体的检测范围也在同步扩展：从传统基础软件，到AI智能体产品，再到AI应用开发平台，持续为AI生态开展“防御性体检”。



当漏洞成为武器，防御侧必须建立智能体安全审计能力



这场变化背后，是全球网络攻防形势的快速升级。



近期，《金融时报》报道称，美国国家安全局正在与Anthropic合作，部署其Claude Mythos模型用于进攻性网络行动，并有多名Anthropic工程师在NSA内部协助模型部署、定制和适配。



这一信号意味着，AI漏洞挖掘能力正在从实验室、发布会和基准测试，进入国家级网络攻防体系。当进攻侧已经开始使用AI能力寻找和利用系统弱点，防御侧就不能再停留在人工审计、被动响应和事后修复阶段。



谁能更早发现漏洞，谁就能更早修复风险，谁能更系统地审计AI生态，谁就能在未来的智能体攻防中掌握更多主动权。



近期美联社相关内容也关注到，在AI驱动的自动化漏洞发现领域，Anthropic的Mythos与360漏洞挖掘智能体代表了两种不同的技术路线。相比Mythos这类强调通用大模型直接发现漏洞的路径，360选择的是以智能体为核心的工程化路径：把安全专家经验、漏洞知识库、真实攻防数据、代码理解能力和自动化验证流程，转化为多个可协同运行的垂直漏洞挖掘智能体。这一路径适合解决复杂攻击链路、动态运行时环境以及AI Agent生态中的安全审计问题。



这次对Flowise的研究，再次印证了360选择的工程化路径：在安全场景中，决定漏洞发现能力的关键，并不只是基础模型本身，更在于围绕漏洞挖掘任务设计的流程编排、工具协同能力、自主探索机制和安全实战经验。



当AI系统越来越多地接入企业数据、业务流程和组织权限，安全能力也必须同步升级。防御侧不能再只依赖人工审计、被动响应和事后修复，而需要借助自动化、智能化手段，更早发现漏洞、更快推动修复、更系统地审计AI生态。



360漏洞挖掘智能体坚持以防御为中心的发展路线：发现漏洞、上报漏洞、推动修复。截至目前，该智能体已累计发现千余个漏洞，覆盖传统基础软件和AI生态多个领域。



360提醒，已将AI平台接入生产环境的政企用户，应尽快对AI应用基础设施开展安全评估，重点关注身份认证、权限控制、组织隔离、模型密钥管理、知识库访问控制等关键环节。在AI攻防持续升级的背景下，自动化安全审计能力建设亟需提速。



360数字安全