Nye agentfeil gir RCE og SSRF i AI-verktøy

Tre ferske sårbarheter i AI-agentverktøy viser hvor fort risikoen flytter seg fra selve modellen til verktøyene den får bruke. NISTs sårbarhetsdatabase publiserte torsdag kveld nye CVE-er for AnythingLLM, Universal Tool Calling Protocol og AutoGPT. Ingen av dem handler om at en språkmodell svarer feil. De handler om grensen mellom prompt, agent, filsystem, nettverk og kostnadskontroll.

Den mest alvorlige saken gjelder AnythingLLM før versjon 1.13.0. Plattformen brukes til å gjøre egne dokumenter og datakilder tilgjengelige for LLM-er i chat og agentløp. Ifølge NVD sendte agentferdigheten for filsystemsøk et LLM-styrt søkemønster videre til ripgrep uten å skille søkestrengen fra kommandolinjevalg med en ---separator. Det høres lite dramatisk ut. Det er det ikke. Hvis mønsteret starter med bindestrek, tolker ripgrep det som et valg. NVD beskriver at et mønster som --pre=/bin/sh kan gjøre søkeverktøyet til en skriptkjører. Sammen med en søskenfunksjon for å skrive filer kan en angriper som får chatte med en agent i et miljø med filsystem-plugin aktivert, kjøre kommandoer inne i AnythingLLM-servercontaineren.

GitHub-rådgivningen gir feilen høy alvorlighet, med CVSS 7,5. NVD beskriver at feilen er rettet i AnythingLLM 1.13.0. For virksomheter som tester interne kunnskapsagenter, er dette en presis påminnelse: et agentverktøy er ikke bare et hjelpemiddel for modellen. Det er et programmatisk grensesnitt mot systemet agenten kjører i. Når modellen kan påvirke argumenter til kommandolinjeverktøy, filoperasjoner eller API-kall, må input behandles som fiendtlig, også når brukeren er autentisert.

Den andre feilen gjelder @utcp/http, TypeScript-implementasjonen av Universal Tool Calling Protocol, før versjon 1.1.2. NVD beskriver en blind SSRF-sårbarhet i skillet mellom manuell discovery og faktisk tool invocation. registerManual() validerer discovery-URL-en mot krav om HTTPS og loopback-regler. Men når verktøyet senere kalles, gjenbrukes toolCallTemplate.url fra OpenAPI-spesifikasjonen uten ny validering. En legitim HTTPS-hostet OpenAPI-spec kan dermed peke servers[0].url mot for eksempel 127.0.0.1 eller cloud metadata-adresser. Resultatet er at agenten kan sendes mot interne tjenester fra innsiden av miljøet.

CVSS-scoren er moderat, 4,7. Likevel bør ikke norske CISO-er lese dette som en uinteressant lavrisikofeil. SSRF i en agentarkitektur får en annen praktisk konsekvens enn SSRF i en isolert webapp. Agenten er ofte satt opp nettopp for å nå interne API-er, dokumentlagre og orkestreringsflater. Hvis valideringen bare skjer ved discovery, men ikke ved hvert kall, kan prompt injection, forgiftet tool-discovery eller en kompromittert spesifikasjon bli nok til å flytte trafikk inn mot systemer som aldri skulle eksponeres.

Den tredje feilen gjelder AutoGPT før versjon 0.6.59. Her er sikkerhetsbruddet mindre klassisk, men viktig for styring. Ifølge NVD kan endepunktet POST /api/blocks/{block_id}/execute kjøre blokker uten å trekke credits, uavhengig av brukerens saldo. Kredittsjekken som finnes i vanlig grafkjøring blir ikke nådd når blokker kalles direkte via eksternt API. For en intern agentplattform kan slike feil bli mer enn en faktureringsglipp. De kan undergrave rate limits, godkjenningsflyter, human-in-the-loop-kontroller og kostnadstak.

Fellesnevneren er at agentkontroller må ligge på laveste relevante nivå, ikke bare i UI, promptpolicy eller orkestrator. Filverktøy må ha allowlistede operasjoner, eksplisitt argumentseparering og isolert runtime. Tool-calling må validere mål, skjema og egress ved hvert kall, ikke bare ved registrering. Kostnads- og risikogrenser må håndheves i API-et som faktisk utfører arbeidet.

For CIO-er betyr dette at pilotregimet for AI-agenter må ligne mer på produksjonsklar programvare enn på chatbot-testing. Spør leverandørene hvor agenten kjører, hvilke verktøy den kan kalle, hvordan argumenter valideres, hvor secrets ligger, hvilke nettverk den kan nå, og hvilke logger som viser faktisk verktøybruk. For CISO-er er minimumstiltakene konkrete: oppgrader AnythingLLM til 1.13.0 eller nyere, @utcp/http til 1.1.2 eller nyere og AutoGPT til 0.6.59 eller nyere. Skru av agent-mode og filsystemverktøy der de ikke er nødvendige. Blokker cloud metadata-endepunkter og interne administrasjonsflater med egress-regler. Kjør agentmiljøer uten sensitive mounts, med egne secrets og med klare grenser mot produksjonsnett.

Dette er ikke en grunn til å stoppe agentprosjekter. Det er en grunn til å slutte å behandle dem som ufarlige sideprosjekter. Når en agent får verktøy, får den også en angrepsflate. Den må eies.

Kilder og medier

Primærkilde: NIST NVD / GitHub Security Advisory, CVE-2026-48116: https://nvd.nist.gov/vuln/detail/CVE-2026-48116

GitHub Security Advisory, AnythingLLM GHSA-6hrp-7mw6-8v59: https://github.com/Mintplex-Labs/anything-llm/security/advisories/GHSA-6hrp-7mw6-8v59

NIST NVD, CVE-2026-45366 / UTCP SSRF: https://nvd.nist.gov/vuln/detail/CVE-2026-45366

GitHub Security Advisory, typescript-utcp GHSA-r8j5-8747-88cm: https://github.com/universal-tool-calling-protocol/typescript-utcp/security/advisories/GHSA-r8j5-8747-88cm

NIST NVD, CVE-2026-45023 / AutoGPT block execution: https://nvd.nist.gov/vuln/detail/CVE-2026-45023

GitHub Security Advisory, AutoGPT GHSA-8pjg-mfqm-vrhr: https://github.com/Significant-Gravitas/AutoGPT/security/advisories/GHSA-8pjg-mfqm-vrhr

Thumbnail: OpenAI Image 2 / hogby.ai