當惡意執行者在惡意 MCP 伺服器上操控工具組態或中繼資料時會發生模型內容通訊協定 (MCP) 伺服器工具毒害。這可導致執行未經授權的命令、資料損毀或部署惡意工具。這類弱點在 AI 開發環境中特別危險，在這種情況下，遭到破壞的工具可危害開發程序的完整性並導致進一步惡意利用。

根據自我報告的版本號碼遠端主機上主控的 MCP Inspector 版本受到一個遠端程式碼執行弱點影響。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。 

此偵測包含在 AI 和 LLM 類別中。

DocsGPT 容易受到攻擊允許未經驗證的攻擊者透過「/api/remote」端點上的特製偽造要求執行任意程式碼。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式可通知使用者掃描程式在目標應用程式上偵測到可公開存取的 DocsGPT 執行個體。DocsGPT 是一種開放原始碼 genAI 工具可協助使用者從知識來源取得答案。此偵測包含在 AI 和 LLM 類別中。

使用 SSE (伺服器傳送事件) 傳輸模式的 ModelContextProtocol (MCP) 伺服器若未對「Origin」和「Host」標頭強制執行嚴格驗證則容易遭受 DNS 重新系結攻擊。此弱點允許攻擊者繞過同源原則可能導致在未經授權的情況下代表使用者在有弱點的 MCP 伺服器內容中存取敏感資料或動作。

此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式用於通知使用者掃描程式在目標應用程式上偵測到一個可公開存取的「llms.txt」檔案。「llms.txt」檔案是一項建議書目的在於提供以 markdown 撰寫的 LLM 相容內容以供 LLM 使用。此偵測包含在 AI 和 LLM 類別中。

這是一則資訊性通知，掃描器能夠在目標伺服器上偵測到無需驗證即可存取的 MCP (模型內容通訊協定) Server。當可用時，外掛程式會在附件中提供工具、提示和資源的清單。

這是資訊外掛程式用於通知使用者掃描程式在目標應用程式上偵測到可公開存取的 Drift 聊天機器人。Drift 是一種用於構建和部署 AI 客戶體驗的解決方案。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式用於通知使用者掃描程式在目標應用程式上偵測到可公開存取的 Intercom 聊天機器人。Intercom 是一種用於構建和部署 AI 客戶體驗的解決方案。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式用於通知使用者掃描程式已在目標應用程式上偵測到可公開存取的 Livechat 聊天機器人。Livechat 是一種用於構建和部署 AI 客戶體驗的解決方案。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式用於通知使用者掃描程式在目標應用程式上偵測到可公開存取的 Dialogflow 聊天機器人。Google Dialogflow 是一個自然語言理解平台可協助開發人員建立對話式使用者介面。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式用於通知使用者掃描程式已偵測到目標應用程式上有可公開存取的 Typebot 聊天機器人。Typebot 是一種開放原始碼聊天機器人建立器。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式用於通知使用者掃描程式已偵測到目標應用程式上有可公開存取的 Azure Bot Framework 聊天機器人。Azure Bot Framework 是一種用於構建和部署 AI 客戶體驗的解決方案。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式用於通知使用者掃描程式已在目標應用程式上偵測到可公開存取的 Voiceflow 聊天機器人。Voiceflow 是一種用於構建和部署 AI 客戶體驗的解決方案。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式用於通知使用者掃描程式在目標應用程式上偵測到可公開存取的 Botpress 聊天機器人。Botpress 是用於構建和部署 GPT/LLM 代理程式的開放原始碼視覺架構。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式用於通知使用者掃描程式在目標應用程式上偵測到可公開存取的 Langflow 聊天機器人。Langflow 是用於建構多重代理程式和 RAG 的開放原始碼視覺架構。此偵測包含在 AI 和 LLM 類別中。

1.18.0 之前的 Label Studio 版本容易受到「/projects/upload-example/」端點上的反射式跨網站指令碼影響。此偵測包含在 AI 和 LLM 類別中。

這是一個資訊性通知說明掃描程式可以在目標伺服器上偵測到 MCP (Model Context Procol) Inspector 執行個體。

這是一個資訊性通知掃描器可在目標伺服器上偵測到 MCP (Model Context Procol) 資訊清單。

這是一個資訊性公告說明掃描程式可在目標伺服器上偵測到 Agent2Agent (A2A) 卡。

這是一個資訊性通知掃描器可在目標伺服器上偵測到模型內容通訊協定 (MCP) HTTP 伺服器 (使用 SSE 或 Streamable-HTTP 傳輸模式)。

Langflow 容易受到攻擊，其允許未經驗證的攻擊者透過「/api/v1/validate/code」端點上特製的要求執行任意程式碼。此偵測包含在 AI 和 LLM 類別中。

Flowise 容易遭受攻擊，允許未經驗證的攻擊者上傳任意檔案。此偵測包含在 AI 和 LLM 類別中。

請注意，此 plugin 需要掃描組態中啟用「檔案上傳」評估選項。

LiteLLM 套用具有文件建議之認證的驗證系統。如果未修改這些認證，攻擊者可存取 LiteLLM 的介面並執行任意動作。此偵測包含在 AI 和 LLM 類別中。

根據其自我報告的版本，遠端網頁伺服器上執行的 LiteLLM 執行個體舊與 1.48.18 版。因此，它受到聊天完成中伺服器端請求偽造漏洞的影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

這是資訊外掛程式，可通知使用者掃描器在目標應用程式上偵測到可公開存取的 LiteLLM 執行個體。LiteLLM 是一種 LLM 閘道，可提供 OpenAI 格式的模型存取。此偵測包含在 AI 和 LLM 類別中。

根據其回應標頭中自我報告的版本，遠端 web 伺服器上主控的 LobeChat 版本低於 0.122.4。因此，其受到不當存取控制的影響，進而允許攻擊者在沒有適當授權的情況下存取外掛程式。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其回應標頭中自我報告的版本，遠端 web 伺服器上主控的 LobeChat 版本低於 0.150.6。因此，其受到透過代理程式 Proxy 組態導致的伺服器端要求偽造的影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其回應標頭中自我報告的版本，遠端 web 伺服器上主控的 LobeChat 版本低於 0.162.25。因此，其受到透過 SSO/存取程式碼導致的敏感資料洩漏的影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其回應標頭中自我報告的版本，遠端 web 伺服器上主控的 LobeChat 版本低於 1.19.13。因此，其受到多個伺服器端要求偽造弱點的影響：

 - 透過 Proxy 位址的伺服器端要求偽造

 - 透過繞過先前修正的伺服器端要求偽造

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

這是資訊 plugin，可通知使用者掃描器在目標應用程式上偵測到可公開存取的 LobeChat 執行個體。LobeChat 是一個支援多個 AI 提供者的開放原始碼 AI 聊天架構。此偵測包含在 AI 和 LLM 類別中。

0.10.0-beta.1 版本之前的 Danswer 受到不安全的直接物件參照弱點影響，因此未經驗證的攻擊者可透過特別偽造的要求來存取訊息和附加的檔案。此偵測包含在 AI 和 LLM 類別中。

Gradio 4.37.1 之前版本受到開放式重新導向弱點影響，此弱點允許攻擊者透過特製的連結嘗試將目標應用程式使用者重新導向至惡意伺服器。此偵測包含在 AI 和 LLM 類別中。

Flowise 2.0.6 之前版本容易受到驗證繞過弱點影響，未經驗證的遠端攻擊者可以透過 REST API 來執行管理動作。

4.13 之前的 Gradio 版本 4.3 容易透過呼叫 Components 類別的任意方法，受到未經驗證的本機檔案讀取攻擊。此偵測包含在 AI 和 LLM 類別中。

根據預設，Gradio 不要求必須完成驗證才能存取應用程式。這會允許攻擊者存取敏感資料。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式，可通知使用者掃描器在目標應用程式上偵測到公開的 Gradio 執行個體。Gradio 是一種使用 Python 構建機器學習應用程式的軟體。此偵測包含在 AI 和 LLM 類別中。

根據預設，Danswer 不要求必須完成驗證才能存取應用程式。這會導致攻擊者可以在 Web 介面中對實驗或模型執行任意修改。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式，可通知使用者掃描器在目標應用程式上偵測到公開的 Danswer 執行個體。Danswer 是與貴公司文件、應用程式和人員連結的 AI 助理。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式，可通知使用者掃描器在目標應用程式上偵測到公開的 Dify 執行個體。Dify 是開放原始碼 LLM 應用程式開發平台。此偵測包含在 AI 和 LLM 類別中。

AnythingLLM 受到 `/api/setup-complete` API 端點所造成的資訊洩漏弱點影響。透過存取此端點，未經驗證的遠端攻擊者可存取目標 AnythingLLM 執行個體的敏感設定。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式，可通知使用者掃描器偵測到公開的 ChatGPT-web 執行個體。ChatGPT-web 是 OpenAI ChatGPT API 的簡單單頁 Web 介面。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式，可通知使用者掃描器在目標應用程式上偵測到可公開存取的 H2O Flow 執行個體。H2O Flow 是適用於 H2O 的開放原始碼使用者介面，H2O 是開放原始碼、分散式且可擴充的機器學習和預測分析平台。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式，可通知使用者掃描器在目標應用程式上偵測到存在由 ChatGPT 外掛程式使用的資訊清單。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式，可通知使用者掃描器在目標應用程式上偵測到可公開存取的 Ray 執行個體。Ray 是一種開放原始碼架構，用於構建和縮放機器學習 (ML) 和 Python 應用程式。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式，可通知使用者掃描器在目標應用程式上偵測到可公開存取的 ZenML 執行個體。ZenML 是專用於 MLOps 抽象化基礎基礎架構的開放原始碼架構。此偵測包含在 AI 和 LLM 類別中。

根據預設，Ollama 不要求必須完成驗證才能存取應用程式。這會導致攻擊者可以在 Web 介面中對實驗或模型執行任意修改。此偵測包含在 AI 和 LLM 類別中。

這是資訊外掛程式，可通知使用者掃描器在目標應用程式上偵測到可公開存取的 Ollama 執行個體。Ollama 是一種開放原始碼的應用程式，可快速設定多種 LLM。此偵測包含在 AI 和 LLM 類別中。

根據預設，MLflow 不要求必須完成驗證才能存取應用程式。這會導致攻擊者可以在 Web 介面中對實驗或模型執行任意修改。此偵測包含在 AI 和 LLM 類別中。

根據預設，MLflow 不要求必須完成驗證才能存取應用程式。啟用驗證時，MLflow 會使用預設憑證強制執行基本驗證。若未更新，未經驗證的遠端攻擊者可存取 MLflow UI 並對其執行任意動作。此偵測包含在 AI 和 LLM 類別中。

ID	名稱	嚴重性
114921	MCP 伺服器工具毒害	high
114906	MCP Inspector < 0.14.1 遠端程式碼執行	critical
114905	DocsGPT 0.8.1 < 0.13.0 未經驗證的遠端程式碼執行	high
114904	偵測到 DocsGPT	info
114885	MCP 伺服器 SSE DNS 重新系結	medium
114883	偵測到 Llms.txt 檔案	info
114791	MCP Server 未經驗證的存取	info
114881	偵測到 Drift Chatbot	info
114880	偵測到 Intercom Chatbot	info
114879	偵測到 Livechat Chatbot	info
114878	偵測到 Dialogflow Chatbot	info
114874	偵測到 Typebot Chatbot	info
114873	偵測到 Azure Bot Framework Chatbot	info
114872	偵測到 Voiceflow Chatbot	info
114871	偵測到 Botpress Chatbot	info
114870	偵測到 Langflow Chatbot	info
114798	Label Studio < 1.18.0 反映式跨網站指令碼	high
114797	偵測到 MCP Inspector	info
114793	偵測到 MCP 資訊清單	info
114792	偵測到 Agent2Agent (A2A) 卡	info
114790	偵測到 MCP Server	info
114668	Langflow < 1.3.0 未經驗證的遠端程式碼執行	critical
114667	FlowiseAI 任意檔案上傳	high
114625	LiteLLM 預設認證	critical
114623	LiteLLM < 1.48.18 伺服器端要求偽造	high
114622	偵測到 LiteLLM	info
114589	LobeChat < 0.122.4 不當存取控制	medium
114588	LobeChat < 0.150.6 伺服器端要求偽造	critical
114587	LobeChat < 0.162.25 敏感資料洩漏	medium
114586	LobeChat < 1.19.13 伺服器端要求偽造	high
114585	偵測到 LobeChat	info
114467	Danswer < 0.10.0-beta.1 不安全的直接物件參照	medium
114459	Gradio < 4.37.1 開放重新導向	medium
114413	Flowise < 2.0.6 驗證繞過	high
114409	Gradio 4.3 < 4.13 本機檔案讀取	high
114408	Gradio 未經驗證的存取	critical
114407	偵測到 Gradio	info
114393	Danswer 未經驗證的存取	critical
114392	偵測到 Danswer	info
114391	偵測到 Dify	info
114390	AnythingLLM API 敏感資訊洩漏	high
114389	偵測到 ChatGPT-web	info
114367	偵測到 H2O Flow	info
114362	偵測到 ChatGPT 外掛程式資訊清單	info
114361	偵測到 Ray	info
114359	偵測到 ZenML	info
114328	Ollama 未經驗證的存取	critical
114327	偵測到 Ollama	info
114324	MLflow 未經驗證的存取	critical
114323	MLflow 預設憑證	critical

偵測

Web App Scanning 的 Artificial Intelligence 系列

high

critical

high

info

medium

info

info

info

info

info

info

info

info

info

info

info

high

info

info

info

info

critical

high

critical

high

info

medium

critical

medium

high

info

medium

medium

high

high

critical

info

critical

info

info

high

info

info

info

info

info

critical

info

critical

critical