Langflow-angrep viser ny risiko i AI-agentplattformer

Angripere utnytter en sårbarhet i Langflow, en åpen kildekode-plattform for å bygge AI-applikasjoner, RAG-flyter, MCP-oppsett og agenter. Feilen ligger i filopplasting og kan brukes til å skrive filer til vilkårlige steder på serveren ved hjelp av path traversal.

Det tekniske navnet er CVE-2026-5027. Tenable beskriver feilen som en path traversal arbitrary file write i endpointet POST /api/v2/files. Problemet er at filename-parameteren i multipart-opplastingen ikke blir renset godt nok. En angriper kan dermed bruke sekvenser som ../ til å få filer skrevet utenfor tiltenkt katalog.

BleepingComputer meldte 10. juni at angrep er observert mot eksponerte Langflow-instanser. Ifølge saken har VulnCheck sett aktivitet i honeypots der angripere forsøker å skrive testfiler på sårbare systemer. Det er ofte første fase: se om serveren lar seg skrive til, deretter eskalere til kodekjøring eller mer permanent fotfeste.

Langflow er ikke en nisjekomponent lenger. Prosjektet brukes av utviklingsteam til å sette sammen AI-flyter visuelt, koble modeller mot datakilder, bygge agentoppsett og teste MCP-baserte arbeidsflyter. GitHub-prosjektet har over 149.000 stjerner. Det gjør sårbarheten interessant langt utenfor sikkerhetsmiljøet. Den treffer et lag mange virksomheter akkurat nå tar inn i AI-eksperimenter og interne plattformteam.

Tenable publiserte opprinnelig rådgivningen 27. mars 2026 etter flere forsøk på å kontakte leverandøren. Rådgivningen oppgir CVSS 8.8 og anbefaler oppgradering til Langflow 1.9.0 eller nyere. Den ble oppdatert 11. juni med beskjed fra leverandøren om at feilen er rettet i versjon 1.9.0. Snyk har i tillegg knyttet rettingen til langflow-base 0.8.3.

For norske CIO-er og CISO-er er dette en praktisk påminnelse: AI-verktøy som begynte som utviklerlek, blir fort produksjonsnære integrasjoner. Når de kobles til dokumenter, vektordatabaser, kodebaser, interne API-er, secrets, MCP-servere og skytjenester, blir de ikke bare «AI-verktøy». De blir en del av applikasjonsflaten.

Det er særlig farlig fordi mange agent- og RAG-plattformer settes opp av team som vil raskt frem. De startes i containere, åpnes for intern testing, kobles til GitHub eller skyressurser og får tilgang til filer. Deretter blir piloten stående. Hvis den eksponeres mot internett eller et svakt segmentert miljø, kan en sårbarhet i en tilsynelatende ufarlig opplastingsfunksjon bli en inngang til langt mer verdifulle systemer.

Path traversal høres gammeldags ut. Det er nettopp poenget. Den nye AI-stacken arver gamle web- og applikasjonssvakheter, men legger dem oppå nye privilegier. En agentplattform har ofte flere koblinger enn en vanlig webapp. Den kan ha modeller, vektorlagre, dokumentlagre, API-nøkler, verktøykall og eksperimentelle plugin-systemer i samme miljø. Dermed kan en enkel filskrivingsfeil få større sprengkraft.

Virksomheter bør behandle dette som mer enn en patchsak. Første steg er å finne om Langflow finnes i miljøet, også i labber, sandkasser, innovasjonsteam og datasience-miljøer. Deretter bør alle instanser under 1.9.0 oppgraderes eller tas ned. Eksponerte instanser bør granskes for uventede filer, ukjente prosesser, nye cron-jobber, endrede startup-skript og mistenkelige nettverkskall.

Neste steg er arkitektur. AI-utviklingsplattformer bør ikke få standardtilgang til brede interne nettverk. De bør ligge bak SSO, nettverkskontroll, minst mulig egress, isolerte secrets og logging som faktisk leses. Filopplasting bør behandles som høy risiko. Integrasjoner mot GitHub, skykontoer og interne API-er bør ha egne tokens med kort levetid og snevre rettigheter.

Dette gjelder også innkjøp og leverandørstyring. Når forretningen spør etter «rask AI-pilot», bør sikkerhetskravet ikke være et langt dokument som stopper alt. Det bør være et minimumssett: ingen anonym internettilgang, ingen langlivede nøkler i container, ingen bred nettverkstilgang, logging på verktøykall og en definert eier som får patchvarsler.

Langflow-saken viser også at åpen kildekode i AI-laget trenger samme modenhet som resten av stacken. Popularitet er ikke det samme som herding. Mange prosjekter vokser raskt fordi de treffer et utviklerbehov, ikke fordi de har rukket å bygge et enterprise-sikkerhetsprogram. Det betyr ikke at de skal unngås. Det betyr at de må pakkes inn riktig.

For styrer og ledergrupper er læringen enkel: Agentplattformer er ikke bare innovasjonsverktøy. De er nye driftskomponenter. Hvis de får tilgang til virksomhetens data og verktøy, må de inn i ordinær sårbarhetsstyring, CMDB, identitetsstyring og hendelsesberedskap. Ellers blir AI-piloten neste svake punkt i angrepskjeden.

Kilder og medier

• Kilde: BleepingComputer, «Path traversal flaw in AI dev platform Langflow exploited in attacks», publisert 10. juni 2026. https://www.bleepingcomputer.com/news/security/path-traversal-flaw-in-ai-dev-platform-langflow-exploited-in-attacks/
• Teknisk verifikasjon: Tenable Research Advisory TRA-2026-26, «Langflow - Path Traversal Arbitrary File Write via upload_user_file». https://www.tenable.com/security/research/tra-2026-26
• CVE-verifikasjon: Tenable CVE-2026-5027. https://www.tenable.com/cve/CVE-2026-5027
• Thumbnail: OpenAI Image 2 / hogby.ai