文章总结： CNNVD通报2026年5月18日至28日期间收录114个重要人工智能漏洞，涉及MLflow、HermesAgent、LangChain等12个超危、37个高危及65个中危漏洞。核心案例包括MLflow访问控制漏洞导致任意命令执行、HermesAgent未授权漏洞及AutoGPT资源管理漏洞引发拒绝服务。报告强调厂商已发布补丁修复，建议用户及时参考提供的官方链接更新系统。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,AI安全,解决方案,安全运营

人工智能重要漏洞通报（2026年第八期）

原创

CNNVD CNNVD

CNNVD安全动态

2026年6月2日 16:18 北京

在小说阅读器读本章

去阅读

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，近期（2026年5月18日至2026年5月28日）共采集重要人工智能漏洞114个，CNNVD对这些漏洞进行了收录。本周人工智能类漏洞主要涵盖了MLflow、Nous Research（Hermes Agent）、LangChain等多个厂商（项目）。CNNVD对其危害等级进行了评价，其中超危漏洞12个，高危漏洞37个，中危漏洞65个。

一 人工智能漏洞增长数量情况

近期CNNVD采集人工智能漏洞114个。

图1 近五周漏洞新增数量统计图

二 人工智能漏洞具体情况

近期共采集重要人工智能漏洞114个，包括MLflow、Nous Research（Hermes Agent）、LangChain等多个厂商（项目）的漏洞。其中超危漏洞12个，高危漏洞37个，中危漏洞65个。具体如表1所示：

表1 人工智能漏洞列表

三 重要人工智能漏洞实例

近期重要漏洞实例如表2所示。

表2 本期重要漏洞实例

1. MLflow 访问控制错误漏洞（CNNVD-202605-4226）

MLflow是一个开源的简化机器学习开发的平台，包括跟踪实验、将代码打包成可重复的运行以及共享和部署模型。

MLflow 3.9.0版本存在访问控制错误漏洞，该漏洞源于对ajax-api端点来源验证不当，攻击者利用该漏洞可以执行任意命令。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://mlflow.org/releases/

2. Hermes Agent 安全漏洞（CNNVD-202605-4908）

Hermes Agent是Nous Research开源的一款具备自我学习循环的AI代理工具。

Hermes Agent 2026.4.16版本及之前版本存在安全漏洞，该漏洞源于缺少授权，攻击者利用该漏洞可以执行任意命令。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/NousResearch/hermes-agent/releases

3. AutoGPT 资源管理错误漏洞（CNNVD-202605-4263）

AutoGPT是一个开源工具，致力于让每个人都能使用和构建可访问的AI。

AutoGPT 0.4.2版本至0.6.51版本存在资源管理错误漏洞，该漏洞源于download_agent_file端点创建临时文件后未删除，导致磁盘空间耗尽，攻击者利用该漏洞可以导致系统拒绝服务。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/Significant-Gravitas/AutoGPT/releases

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNNVD安全动态 CNNVD CNNVD《人工智能重要漏洞通报（2026年第八期）》