来源：新浪财经

6月10日消息，近日，360漏洞挖掘智能体在全球广泛使用的开源AI应用搭建平台Flowise中自动发现13个0day漏洞，涉及身份认证、权限控制、跨组织访问等安全问题。相关漏洞若被利用，攻击者可窃取企业AI模型密钥、篡改业务数据或干扰系统运行。目前，相关漏洞已上报中国国家信息安全漏洞库（CNNVD）并同步反馈项目方，其中8个已获确认，部分已完成修复。

Flowise GitHub星标超过5.3万，并非小众开源工具，而是正在进入企业生产环境的AI基础设施。自2025年8月被企业软件巨头Workday收购后，Flowise被纳入HR、财务等核心业务场景的AI Agent能力版图，已处理数百万次聊天和工作流，并支持接入OpenAI、Claude、Gemini、DeepSeek、Ollama等主流模型，可通过API或嵌入组件快速集成到企业业务系统中。

作为全球使用广泛的企业AI应用底座，Flowise的安全问题已从开源社区风险升级为企业AI基础设施风险。此次漏洞集中指向身份认证、权限校验和跨组织访问控制等安全问题。由于Flowise常连接大模型、知识库、数据库和业务系统，且互联网测绘数据显示公网上可见实例已超过3万个，一旦漏洞被利用，风险可能沿AI工作流扩散，对政企用户构成严重威胁。

该项目过去两年已修复约77个漏洞，经历了安全厂商、社区开发者和AI工具的多轮审计。业内人士认为，360漏洞挖掘智能体此次自动批量发现13个0day漏洞，表明AI平台复杂的业务流程和权限链路中，仍存在传统静态扫描和人工审计难以覆盖的深层盲区。

360提醒，已将AI平台接入生产环境的政企用户面临潜在风险，建议尽快对AI应用基础设施开展安全评估。在AI攻防持续升级的背景下，自动化安全审计能力的建设亟需提速。