CVE-2026-40117PraisonAIAgents 在1.5.128之前的版本中存在路径遍历漏洞。该漏洞源于`skill_tools.py`中的`read_skill_file()`函数,该函数接受未受限制的`skill_path`参数,导致可以从文件系统读取任意文件。与具有工作区限制和审批机制的同类函数不同,该函数缺乏必要的安全防护。受提示注入影响的代理可利用此漏洞窃取敏感数据且不触发审批提示。
该漏洞位于PraisonAIAgents多代理系统的`skill_tools.py`模块中。具体而言,`read_skill_file()`函数设计用于读取技能文件,但在实现上存在严重缺陷。它直接使用了用户或代理提供的`skill_path`参数,并未像`file_tools.read_file`那样强制执行工作区边界检查,也未像`run_skill_script`那样要求关键级别的审批。攻击者利用此漏洞的方式是结合提示注入(Prompt Injection)。在多代理系统中,如果代理受到恶意提示的影响,它可以调用`read_skill_file()`并将路径参数设置为系统中的任意敏感文件(如`/etc/passwd`、环境变量文件或代码库中的密钥文件)。由于缺乏边界检查和审批流程,该操作会静默成功,导致敏感信息直接泄露给攻击者,严重威胁系统机密性。