【ADLab原创漏洞】微软Prompt flow远程代码执行漏洞
发布时间 2025-08-20在大模型驱动的AI浪潮中,AI基础设施已成为支撑智能应用的核心底座,涵盖模型训练框架、推理服务框架、分布式计算环境以及应用开发框架等关键组件。然而,随着AI生态的快速扩张,其安全性问题日益凸显。一旦基础设施存在漏洞,可能导致算力资源被滥用、服务遭到劫持或应用被破坏,从而威胁整个AI生态的可靠性与稳定性。yL23411永利ADLab围绕AI基础设施开展系统化安全研究,目前已发现 LangFlow、Flowise、vLLM、Prompt flow 等多个高危漏洞。
Prompt flow是微软开发的大模型应用开发框架,用于简化基于大模型的AI应用开发流程,覆盖了从原型设计、测试、评估、部署和监控的完整生命周期。
Prompt flow的核心概念是Flow,它将大模型、提示词、Python代码和外部工具连接起来,构建成一个可执行的工作流。开发者可以通过Flow:
• 快速构建并调试与大模型的交互逻辑;
• 在数据集上对工作流进行评估,计算质量和性能指标;
• 将测试与评估集成进CI/CD流程,确保应用的稳定性和可靠性;
• 部署到服务平台或直接嵌入应用代码中。
对于Flow工作流的执行,Prompt flow提供了CLI方法和Executor Server, 其中Executor Server以服务化方式对外提供运行Flow的接口,基于 Web 框架实现API服务,接收HTTP请求并调用底层的flow executor执行工作流。由于Executor Server直接接收和处理用户输入,这一执行接口也因此成为潜在的攻击面。Flow的灵活性在方便开发的同时,也引入了相应的安全风险,因此输入校验、执行隔离和权限控制成为安全分析的关键点。
三、漏洞原理(MSRC Case 94015)
Prompt flow存在远程代码执行漏洞(MSRC Case 94015),由于/tool/retrieve_tool_func_result 接口在加载和执行工具时没有进行任何校验或限制,攻击者可利用这一漏洞在 Prompt flow Executor Server上实现远程代码执行,从而影响系统的正常运行。
微软MSRC(Microsoft Security Response Center)对ADLab提交的漏洞报告进行了评估,确定该漏洞为严重级别。在最新发布的版本中,已弃用了存在漏洞的接口。建议相关用户尽快升级到最新版本。
此类漏洞揭示了大模型应用开发框架在处理工具调用时可能面临的风险。为降低风险,开发者可以在设计中关注以下方面:
• 输入校验:在接口层面对外部请求进行必要的校验与过滤,避免未经验证的输入直接驱动系统逻辑。
• 白名单机制:限定可调用的模块与函数范围,仅允许经过审核的操作被执行。
• 沙箱隔离:为用户可控的代码或工具提供受限的执行环境,将风险控制在安全边界内。
• 权限最小化:遵循最小权限原则执行工具,降低潜在影响。
• 2025年1月2日提交报告至MSRC
• 2025年6月11日MSRC确认漏洞
• 2025年6月11日Prompt flow更新中弃用漏洞接口
• 2025年6月14日MSRC给出漏洞评级Critical
• 2025年6月30日获取MSRC致谢
yL23411永利积极防御实验室(ADLab)
ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截至目前,ADLab已通过 CNVD/CNNVD/NVDB/CVE累计发布安全漏洞6500余个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全研究、数据安全研究、5G安全研究、AI+安全研究、卫星安全研究、运营商基础设施安全研究、移动安全研究、物联网安全研究、车联网安全研究、工控安全研究、信创安全研究、云安全研究、无线安全研究、高级威胁研究、攻防对抗技术研究。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。
京公网安备11010802024551号