Intercom 是一款用于构建和部署 AI 客户体验的解决方案。如果未启用身份验证，攻击者可能会冒充其他用户，并访问之前的对话和数据。此检测包含在“AI 和 LLM”类别中。

H2O Flow 是 H2O 的开源用户界面，而 H2O 是开源、分布式、可扩展的机器学习和预测分析平台。默认情况下，H2O Flow 不需要身份验证即可访问应用程序。这使得攻击者可以访问敏感数据。此检测包含在“AI 和 LLM”类别中。

此信息通知称扫描程序可在目标 Model Context Protocol (MCP) 服务器上检测到工具展示。

根据其标题，远程主机上运行的 Flowise 版本小于 3.0.6。因此，该服务器受到多个漏洞的影响：

- 未经身份验证的密码重置标记泄露漏洞

- /api/v1/fetch-links 端点中存在服务器端请求伪造漏洞

- 通过 CustomMCP 节点的远程代码执行漏洞

- 通过向 /api/v1/get-upload-file 和 /api/v1/openai-assistants-file/download 端点提供 chatId 参数的未经身份验证的任意文件读取漏洞

- 通过 Supabase RPC Filter 组件的远程代码执行漏洞

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

这是一个信息性插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 Lunary 实例。Lunary 是一个可观察性、即时管理和评估的平台。此检测包含在“AI 和 LLM”类别中。

扫描程序检测到目标应用程序上存在大型语言模型 (LLM)。LLM 是高级 AI 模型，能够基于接收到的输入理解并生成类人文本。它们通常用于各种应用程序，包括聊天机器人、虚拟助手、内容生成等。

LLM 的存在会引入独特的安全注意事项，例如数据隐私问题、生成误导性或有害内容的可能性以及 AI 模型特有的漏洞。

此检测包含在“AI 和 LLM”类别中。

根据其标题远程主机上运行的 Langflow 版本低于 1.5.1。因而受到权限提升漏洞的影响允许具有 RCE 访问权的认证用户创建新的管理用户。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 NVIDIA Triton 版本为 < 25.07。因此，该主机受到多个漏洞的影响：

- 通过特别构建的请求导致多个堆栈缓冲区溢出漏洞。

- 通过特别构建的请求导致多个远程代码执行漏洞。

- 通过超大型请求导致信息泄露漏洞。

- 通过特别构建的请求导致多个拒绝服务漏洞。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

这是一个信息性插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 NVIDIA Triton 实例。NVIDIA Triton 提供经过优化的云端和边缘推理解决方案。此检测包含在“AI 和 LLM”类别中。

根据其标题，远程主机上运行的 ClearML 版本为 < 1.16.0。因此，该平台受到未经身份验证访问文件漏洞的影响，这是缺少对 fileserver 组件进行身份验证所致。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

这是一个信息性插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 ClearML 实例。ClearML 是面向 AI 构建器的基础架构平台。此检测包含在“AI 和 LLM”类别中。

根据其标题，远程主机上运行的 BentoML 版本为低于 1.4.8 的 1.4.x。因此，它受到文件上传处理中服务器端请求伪造 (SSRF) 漏洞的影响。根据其标题，远程主机上托管的 ZenML 版本受到不充分的会话到期影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题远程主机上运行的 ZenML 版本为低于 0.57.0。因此它会受到帐户接管的影响这是由于密码变更功能中缺少速率限制所致。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 BentoML 版本为低于 1.4.3 的 1.3.4。因此，它受到因数据流分析引起的不安全的反序列化漏洞影响

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 BentoML 版本为低于 1.4.8 的 1.x。因此，它受到不安全的反序列化漏洞影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题远程主机上运行的 BentoML 版本为 1.4.x 低于 1.4.8。因此会受到文件上传处理中的服务器端请求伪造 (SSRF) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

当恶意执行者使用工具响应通过 MCP 客户端向进行调用的 LLM 注入恶意提示时，会发生 Model Context Protocol (MCP) 服务器提示注入。这可能导致执行未经授权的命令、损坏数据或部署恶意工具。此类漏洞在 AI 开发环境中特别危险，因为恶意工具可破坏开发过程的完整性并导致进一步利用。此检测包含在“AI 和 LLM”类别中。

这是一个信息性插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 BentoML 实例。Botpress 是一个开源推理平台。此检测包含在“AI 和 LLM”类别中。

当恶意执行者操纵恶意 MCP 服务器上的工具配置或元数据时，会发生 Model Context Protocol (MCP) 服务器工具中毒。这可能导致执行未经授权的命令、损坏数据或部署恶意工具。此类漏洞在 AI 开发环境中特别危险，因为在这种环境中中毒的工具可能会破坏开发过程的完整性，并导致进一步的利用。此检测包含在“AI 和 LLM”类别中。

根据自我报告的版本号远程上托管的 MCP Inspector 版本受到远程代码执行漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

此检测包含在“AI 和 LLM”类别中。

DocsGPT 容易受到攻击允许未经身份验证的攻击者通过特别伪造的请求在“/api/remote”端点上执行任意代码。此检测包含在“AI 和 LLM”类别中。

这是一个信息性插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 DocsGPT 实例。DocsGPT 是一款开源 genAI 工具可帮助用户从知识源获取答案。此检测包含在“AI 和 LLM”类别中。

使用 SSE服务器发送事件传输模式的 ModelContextProtocol (MCP) 服务器在未对“Origin”和“Host”标头强制执行严格验证时容易受到 DNS 重新绑定攻击。此漏洞可让攻击者绕过同源策略可能导致在容易受到攻击的 MCP 服务器环境中未经授权代表用户访问敏感数据或操作。

此检测包含在“AI 和 LLM”类别中。

这是一个信息性插件，用于通知用户扫描程序在目标应用程序中检测到可公开访问的“llms.txt”文件。“llms.txt”文件是一项提议旨在提供以 markdown 编写的、适合 LLM 的内容以供 LLM 使用。此检测包含在“AI 和 LLM”类别中。

这是扫描程序能够检测到目标服务器上未经身份验证可用的模型上下文协议 (MCP) 服务器的信息性通知。当可用时，插件会在附件中提供工具、提示和资源的列表。

这是 信息性插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 Drift 聊天机器人。Drift 是一款用于构建和部署 AI 客户体验的解决方案。此检测包含在“AI 和 LLM”类别中。

这是一个信息性插件，用于通知用户扫描程序已在目标应用程序上检测到可公开访问的 Intercom 聊天机器人。Intercom 是一款用于构建和部署 AI 客户体验的解决方案。此检测包含在“AI 和 LLM”类别中。

这是一个信息性插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 Livechat 聊天机器人。Livechat 是用于构建和部署 AI 客户体验的解决方案。此检测包含在“AI 和 LLM”类别中。

这是一个信息性插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 Dialogflow 聊天机器人。Google Dialogflow 是一个自然语言理解平台，可帮助开发人员构建对话式用户界面。此检测包含在“AI 和 LLM”类别中。

这是一个信息性插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 Typebot 聊天机器人。Typebot 是一个开源聊天机器人构建器。此检测包含在“AI 和 LLM”类别中。

这是一个信息性插件，用于通知用户扫描仪在目标应用程序上检测到可公开访问的 Azure Bot Framework 聊天机器人。Azure Bot Framework 是用于构建和部署 AI 客户体验的解决方案。此检测包含在“AI 和 LLM”类别中。

这是一个信息性插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 Voiceflow 聊天机器人。Voiceflow 是一款用于构建和部署 AI 客户体验的解决方案。此检测包含在“AI 和 LLM”类别中。

这是一个信息性插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 Botpress 聊天机器人。Botpress 是一个用于构建和部署 GPT/LLM 代理的开源可视化框架。此检测包含在“AI 和 LLM”类别中。

这是一个信息性插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 Langflow 聊天机器人。Langflow 是用于构建多代理和 RAG 的开源可视化框架。此检测包含在“AI 和 LLM”类别中。

低于 1.18.0 的 Label Studio 版本在“/projects/upload-example/”端点上容易受到反射型跨站脚本的影响。此检测包含在“AI 和 LLM”类别中。

这是通知称扫描程序可检测到目标服务器上的 MCP (Model Context Procol) Inspector 实例。

这是通知称扫描程序能在目标服务器上检测到 MCPModel Context Procol清单。

这是通知称扫描程序可在目标服务器上检测到 Agent2Agent (A2A) 卡。

此信息通知称扫描程序可检测到目标服务器上的 Model Context Protocol (MCP) HTTP 服务器使用 SSE 或 Streamable-HTTP 传输模式。

Langflow 容易遭受攻击，导致未经身份验证的攻击者可以通过特别伪造的请求，在 '/api/v1/validate/code' 端点上执行任意代码。此检测包含在“AI 和 LLM”类别中。

Flowise 容易遭受攻击，导致未经身份验证的攻击者可以上传任意文件。此检测包含在“AI 和 LLM”类别中。

请注意，您需要在扫描配置中启用“文件上传”评估选项才能使用此插件。

LiteLLM 应用具有可从文档中建议的凭据的认证系统。如果不修改这些凭据，攻击者可访问 LiteLLM 的界面并执行任意操作。此检测包含在“AI 和 LLM”类别中。

根据其自我报告的版本，远程 Web 服务器上运行的 LiteLLM 实例为低于 1.48.18。因此，该数据库受到聊天完成中服务器端请求伪造漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

此为信息插件，用于通知用户扫描程序已在目标应用程序上检测到可公开访问的 LiteLLM 实例。LiteLLM 是用于提供 OpenAI 格式的模型访问的 LLM 网关。此检测包含在“AI 和 LLM”类别中。

根据其响应标头中自我报告的版本，远程 Web 服务器上托管的 LobeChat 版本低于 0.122.4。因此，它受到不适当的访问控制的影响，允许攻击者在没有适当授权的情况下访问插件。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其响应标头中自我报告的版本，远程 Web 服务器上托管的 LobeChat 版本低于 0.150.6。因此，它受到通过代理 Proxy 配置导致的服务器端请求伪造的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其响应标头中自我报告的版本，远程 Web 服务器上托管的 LobeChat 版本低于 0.162.25。因此，它受到通过 SSO/访问代码导致的敏感数据泄露的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其响应标头中自我报告的版本，远程 Web 服务器上托管的 LobeChat 版本低于 1.19.13。因此，它受到多个服务器端请求伪造漏洞的影响：

 - 通过代理地址进行的服务器端请求伪造

 - 通过绕过先前的修复进行的服务器端请求伪造

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

此为信息插件，用于通知用户扫描程序已在目标应用程序上检测到可公开访问的 LobeChat 实例。LobeChat 是一种支持多个 AI 提供程序的开源 AI 聊天框架。此检测包含在“AI 和 LLM”类别中。

Danswer 0.10.0-beta.1 之前版本受到不安全的直接对象引用漏洞影响，因此未经身份验证的攻击者可以通过特别伪造的请求来访问消息和附加的文件。此检测包含在“AI 和 LLM”类别中。

ID	名称	严重性
115001	Intercom 聊天机器人配置错误	medium
114969	H2O Flow 未经身份验证的访问	critical
114965	检测到 MCP 服务器工具	info
114963	Flowise < 3.0.6 多个漏洞	critical
114962	检测到 Lunary	info
114959	检测到 LLM	info
114949	Langflow < 1.5.1 权限升级	high
114941	NVIDIA Triton < 25.07 多个漏洞	critical
114940	检测到 NVIDIA Triton	info
114939	ClearML < 1.16.0 未经身份验证访问文件	critical
114938	检测到 ClearML	info
114937	ZenML 不充分的会话到期	low
114936	ZenML < 0.57.0 帐户接管	medium
114934	BentoML 1.3.4 < 1.4.3 不安全的反序列化	critical
114933	BentoML 1.x < 1.4.8 不安全的反序列化	critical
114932	BentoML 1.4.x < 1.4.19 服务器端请求伪造	critical
114928	MCP 服务器提示注入	high
114927	检测到 BentoML	info
114921	MCP 服务器工具中毒	high
114906	MCP Inspector < 0.14.1 远程代码执行	critical
114905	DocsGPT 0.8.1 < 0.13.0 未经身份验证的远程代码执行	critical
114904	检测到 DocsGPT	info
114885	MCP 服务器 SSE DNS 重新绑定	medium
114883	检测到 Llms.txt 文件	info
114791	MCP 服务器未经认证的访问	info
114881	检测到漂移聊天机器人	info
114880	检测到 Intercom 聊天机器人	info
114879	检测到 Livechat 聊天机器人	info
114878	检测到 Dialogflow Chatbot	info
114874	检测到 Typebot Chatbot	info
114873	检测到 Azure Bot Framework 聊天机器人	info
114872	检测到 Voiceflow 聊天机器人	info
114871	检测到 Botpress Chatbot	info
114870	检测到 Langflow Chatbot	info
114798	Label Studio < 1.18.0 反射型跨站脚本	high
114797	检测到 MCP Inspector	info
114793	检测到 MCP 清单	info
114792	检测到 Agent2Agent (A2A) 卡	info
114790	已检测到 MCP 服务器	info
114668	Langflow < 1.3.0 未经身份验证的远程代码执行	critical
114667	FlowiseAI 任意文件上传	critical
114625	LiteLLM 默认凭据	critical
114623	LiteLLM < 1.48.18 服务器端请求伪造	high
114622	检测到 LiteLLM	info
114589	LobeChat < 0.122.4 访问控制不当	medium
114588	LobeChat < 0.150.6 服务器端请求伪造	critical
114587	LobeChat < 0.162.25 敏感数据泄露	medium
114586	LobeChat < 1.19.13 服务器端请求伪造	high
114585	检测到 LobeChat	info
114467	Danswer < 0.10.0-beta.1 不安全的直接对象引用	medium

检测

Web App Scanning 的 Artificial Intelligence 系列

medium

critical

info

critical

info

info

high

critical

info

critical

info

low

medium

critical

critical

critical

high

info

high

critical

critical

info

medium

info

info

info

info

info

info

info

info

info

info

info

high

info

info

info

info

critical

critical

critical

high

info

medium

critical

medium

high

info

medium