北京赛克艾威科技有限公司 2026-04-10
Langflow 是一款基于可视化界面的低代码/无代码开发工具,专为构建大模型(LLM)应用而设计。若AUTO\_LOGIN设置为True,攻击者可构造请利用 /api/v1/auto\_login 接口获取access\_token,并利用access\_token调用Langflow后台相关接口,执行任意操作,甚至可导致代码执行。
1. 设置 AUTO_LOGIN 为 False。 2. 利用安全组设置Langflow设置其仅对可信地址开放。
https://docs.langflow.org/api-keys-and-authentication
https://avd.aliyun.com/detail?id=AVD-2026-1867169
