文章总结： 通告创宇安全智脑新增79个插件及52个大模型规则，重点披露了MindsDB远程代码执行、n8n沙箱逃逸等10个严重及高危漏洞。内容涵盖AI平台与OA系统等，详细分析了漏洞原理与危害，并提供了补丁升级与权限控制等修复建议。 综合评分： 85 文章分类： 漏洞预警,威胁情报,产品介绍,WEB安全,AI安全

区域分布：

10、n8n Python 任务执行器沙箱逃逸（CVE-2026-0863）发布时间：2026-01-29 漏洞等级：高危 漏洞来源：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-0863 漏洞描述： n8n 是一个工作流程自动化平台，为技术团队提供了代码的灵活性和无代码的速度。凭借 400 多个集成、原生 AI 功能和公平代码许可证，n8n 可让您构建强大的自动化，同时保持对数据和部署的完全控制。该漏洞存在于 n8n 的 Python 任务执行器沙箱机制中。攻击者利用 Python 字符串格式化和异常处理的特性，通过精心构造的对象触发魔法方法(如\_\_format\_\_)的执行，从而绕过沙箱的安全限制。当 Python 在处理异常格式化时，会在沙箱控制范围之外执行攻击者定义的代码，最终允许具有基本权限的认证用户执行任意不受限制的 Python 代码。 漏洞危害： 经过身份验证的攻击者可逃逸沙箱，执行任意不受限制的Python 代码，获取系统权限。 建议解决方案： 1、立即升级n8n到最新修复版本，确保 Python 任务执行器沙箱逃逸漏洞已被修复；2、评估业务需求，如非必要应完全禁用 Python Code 节点或限制其仅对受信任的管理员用户开放；3、避免使用 Internal 执行模式运行 Python 代码，应优先选择External 执行模式以利用容器隔离降低风险。 影响范围： 根据ZoomEye网络空间搜索引擎关键字 app=”n8n” 对潜在可能目标进行搜索，共得到267,153条搜索结果。主要分布在美国、德国等国家。 （ZoomEye搜索链接：https://www.zoomeye.org/searchResult?q=app%3D%22n8n%22） 区域分布：

创宇大模型盾

是面向党政机关、央企国企、金融、能源及其他企事业单位的大模型内容安全防护SaaS系统。该系统采用智能数据分发、内容安全防护、分布式流量清洗等技术，基于知道创宇在相关领域超15年的实战经验，解决大模型应用过程中输入、输出的内容安全问题。其核心优势包括实时检测多种大模型应用场景中出现的涉黄、涉政、暴恐、反动等不符合社会主义核心价值观的风险信息，并实时进行替换和拦截，最快2分钟完成接入。

创宇大模型网关

是面向党政机关、央企国企、金融、能源及其他企事业单位的下一代大模型网关系统。该系统采用智能数据分发、网络安全防护、内容安全防护等核心技术，基于知道创宇在相关领域超15年的实战经验，解决大模型应用碎片化、价值无感知、安全生产事故频发等问题。其核心优势包括多模型统一接入、智能调度分发、全链路可观测及安全合规治理等。

ZoomEye互联网攻击面管理平台

是面向党政机关、央企国企、金融、能源及其他企事业单位提供的网络安全风险暴露面收敛产品，以安全大数据为驱动，从攻击者视角审视互联网资产暴露面与脆弱性的SaaS产品，为客户提供持续全量资产发现与管理、风险监测与治理能力，实现互联网攻击面的梳理与收敛，成为网络安全合规与实战对抗中不可或缺的安全保护手段。只需完成授权，2分钟即可接入平台，获取单位整体攻击面。

ScanV

为网站及业务系统提供全生命周期的外部攻击面管理（EASM）能力，从攻击者视角出发，开展漏洞监测、漏洞响应、漏洞预警等深度漏洞治理工作，实时更新漏洞情报数据，持续性跟踪风险、快速定位威胁。

长按下方二维码联系我们，获得更多支持

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：创宇安全智脑 创宇安全智脑 创宇安全智脑《创宇安全智脑通用安全能力升级通告（20260205）》