Una vulnerabilità critica nel framework open source Langflow sta mettendo a rischio milioni di agenti AI in tutto il mondo. Il problema, catalogato come CVE-2026-6148, consente a chiunque, senza alcuna autenticazione, di eseguire codice arbitrario sui server vulnerabili semplicemente inviando richieste HTTP verso le API pubbliche della piattaforma. Parliamo di qualcosa di enormemente serio, perché il tempismo non potrebbe essere peggiore: siamo nel pieno della corsa agli agenti AI autonomi, con aziende di ogni dimensione che si affidano a framework low-code e orchestratori LLM per collegare modelli generativi, database, servizi cloud e applicazioni interne.
Langflow, per chi non lo conoscesse, è nato come interfaccia visuale per LangChain ed è diventato rapidamente uno dei progetti più utilizzati per costruire workflow AI basati su nodi grafici e automazioni conversazionali. Il fatto che proprio questo strumento presenti una falla di questa portata racconta molto sulla fragilità dell’ecosistema attuale.
Come funziona la falla e perché fa così paura
Stando alle analisi dei ricercatori, la vulnerabilità colpisce il backend Python di Langflow e nasce da una validazione insufficiente nei componenti che gestiscono l’esecuzione dinamica dei flussi AI. In pratica, un attaccante può inviare payload JSON malevoli verso endpoint esposti pubblicamente e ottenere l’esecuzione di comandi direttamente sul server. Il problema riguarda tutte le versioni precedenti a Langflow 1.4.2, e le istanze vulnerabili sono facilmente individuabili tramite scansioni automatiche degli endpoint standard della piattaforma.
Ora, la cosa che rende tutto questo particolarmente preoccupante è che un agente AI moderno non si limita a generare testo. Spesso dispone di privilegi estesi: può leggere documenti, interrogare database, creare ticket, eseguire codice, inviare email. Molte installazioni di Langflow espongono API pubbliche, girano in container Docker con privilegi elevati e mantengono accesso diretto a chiavi API per servizi come OpenAI, Anthropic, oltre a integrazioni con Kubernetes, GitHub, Slack, PostgreSQL e sistemi RAG aziendali.
Compromettere il framework che coordina tutti questi strumenti significa, nei fatti, ottenere accesso trasversale all’intera infrastruttura aziendale. Con la possibilità concreta di sottrarre segreti, manipolare workflow AI o utilizzare gli agenti compromessi come punto di partenza per movimenti laterali nella rete.
A peggiorare il quadro ci sono configurazioni spesso insicure per default: tanti amministratori espongono direttamente dashboard e API su Internet senza reverse proxy, senza autenticazione forte, senza segmentazione di rete. Container privilegiati, volumi persistenti condivisi, token cloud memorizzati in chiaro. Già nelle ore successive alla divulgazione della vulnerabilità, migliaia di istanze Langflow risultavano raggiungibili online senza alcuna protezione.
Patch disponibile: cosa fare adesso
Gli sviluppatori hanno corretto il problema nella release 1.4.2, introducendo controlli più restrittivi sulla validazione degli input e sulla gestione dell’esecuzione dinamica. Tutte le organizzazioni che utilizzano Langflow dovrebbero aggiornare immediatamente le istanze esposte, senza aspettare.
Le misure raccomandate comprendono l’isolamento dei container, la rimozione degli accessi privilegiati, l’autenticazione obbligatoria sulle API, la rotazione delle chiavi AI e la segmentazione di rete. Viene anche consigliato il monitoraggio attivo delle richieste anomale verso gli endpoint di flow execution e l’uso di gateway API con controllo identità e rate limiting. L’esposizione diretta su Internet delle piattaforme agentiche, insomma, è qualcosa da evitare in ogni caso.
Il caso CVE-2026-6148 mette in evidenza un problema strutturale nel settore: la velocità di adozione degli strumenti AI supera spesso, e di molto, la maturità della sicurezza applicativa. Gli agenti AI non sono più applicazioni sperimentali ma componenti infrastrutturali critici, con accessi diretti ai sistemi più sensibili delle aziende.