AI 安全周报：ChromaDB 与 Langflow 高危漏洞及业界动态

发布时间：2026-05-29 14:20来源：微信阅读：4

NVD 正式公布了针对 ChromaDB Python 服务器部署（涵盖 1.0.0 及以上版本）的安全漏洞 CVE-2026-45829。

未授权的攻击者只需提交一个启用了 HTTP 访问且 trust_remote_code 设为 true 的恶意模型仓库，即可诱发服务器端代码执行。

HiddenLayer 将该漏洞的 CVSS 4.0 评分定为满分 10.0。

📌https://nvd.nist.gov/vuln/detail/CVE-2026-45829 📌https://hiddenlayer.com/research/chromatoast-served-pre-auth

5 月 21 日，CISA 将 Langflow 中存在的 CVE-2025-34291 列入了已知被利用漏洞清单。

此缺陷波及 Langflow 1.6.9 及更早版本，由于宽松的 CORS 策略与刷新令牌 Cookie 机制相结合，使得攻击者能通过已验证功能实现账户劫持及远程代码执行。

📌https://cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-34291 📌https://nvd.nist.gov/vuln/detail/CVE-2025-34291 📌https://github.com/advisories/GHSA-577h-p2hh-v4mv

据路透社消息，Anthropic 公司计划向金融稳定理事会通报由 Claude Mythos 发现的系统脆弱性。

截止 5 月 22 日，Anthropic 的披露面板数据显示，已在 281 个开源项目中累计披露了 1,596 处漏洞。

📌https://reuters.com/technology/anthropic-brief-financial-stability-board-cyber-flaws-exposed-by-mythos-ft-2026-05-18/ 📌https://red.anthropic.com/2026/cvd/ 📌https://anthropic.com/research/glasswing-initial-update

微软 AI 红队正式推出了 RAMPART 与 Clarity 两款工具。

RAMPART 旨在协助团队将对抗性 AI 代理场景（含跨提示注入案例）转化为可复现的 CI 测试流程。

Clarity 则支持在实施阶段前开展结构化的威胁建模与安全审查工作。

📌https://www.microsoft.com/en-us/security/blog/2026/05/20/introducing-rampart-and-clarity-open-source-tools-to-bring-safety-into-agent-development-workflow/

🦊 Mozilla：在 Claude Mythos 评估期间发现 Firefox 漏洞

Mozilla 详细回顾了此前与 Anthropic 旗下 Claude Mythos 的合作过程。

Firefox 150 版本已修复评估期间识别出的漏洞，相关内部报告错误已被归类为 CVE-2026-6784、CVE-2026-6785 以及 CVE-2026-6786。

📌https://hacks.mozilla.org/2026/05/behind-the-scenes-hardening-firefox/ 📌https://blog.mozilla.org/en/privacy-security/ai-security-zero-day-vulnerabilities/

← 上一篇：AI Token模式引爆增长：道通科技转型物理AI龙头下一篇：2026年高考AI限制新规引关注，多家大厂回应 →