安全公司Sysdig警告,在Python记事本平台Marimo开发工程团队揭露CVE-2026-39987之后,不到半天的时间就被用于实际攻击活动。4月8日,被誉为“下一代Python笔记本”的开源数据分析工具Marimo爆出一个高危预认证远程代码执行漏洞(CVE-2026-39987),CVSS评分高达9.3分。更令人震惊的是,该漏洞在公开披露后不到10小时即遭黑客在野利用,攻击者通过单次未认证连接即可获取服务器完整控制权,并在蜜罐环境中三分钟内完成凭证窃取。
Marimo是一款采用反应式计算模型的开源Python笔记本,旨在解决传统Jupyter笔记本中因手动执行顺序导致的隐式状态和不可复现问题。该项目在GitHub上拥有约2万颗星标,被数据科学家、机器学习从业者、研究人员广泛用于构建交互式数据应用和仪表盘。
漏洞的核心问题出在Marimo的终端WebSocket端点 /terminal/ws。与正确实施了validate_auth()认证检查的其他端点(如/ws)不同,该终端端点仅检查运行模式和平台支持情况,完全跳过了身份验证环节。
由于Marimo使用的Starlette认证中间件在WebSocket连接建立阶段不会主动拒绝未认证连接,而是依赖端点级别的装饰器或显式调用,导致攻击者可在无需任何令牌或用户交互的情况下建立连接并触发pty.fork()创建子进程。
简单来说:攻击者不需要登录、不需要令牌,只要目标Marimo服务对外可达,就可能直接拿到与Marimo进程权限相同的完整交互式PTY Shell,并执行任意系统命令。
安全公司Sysdig指出,在Marimo发布公告约10小时后,他们看到漏洞利用尝试的迹象,而且黑客在3分钟之内成功窃得凭证。
云安全公司Sysdig的研究人员披露,在该漏洞详情被披露的12小时内,已有125个IP地址开始实施侦查活动。在公开披露不到10小时后,研究人员在凭据窃取攻击活动中观测到了首次利用尝试。攻击过程呈现出高度组织化的特征:
第一次短暂连接:攻击者连接到/terminal/ws端点验证漏洞是否存在,执行简短脚本确认可远程执行命令,几秒内断开连接。
第二次手动侦查:重新连接后执行pwd、whoami、ls等基本命令了解环境,尝试目录遍历,检查SSH相关路径。
第三次凭证窃取:立即定位.env文件并提取环境变量(包括云服务凭据和应用密钥),随后探查SSH密钥——整个凭证窃取操作仅耗时不到3分钟。
第四次返回检查:约一小时后,攻击者再次返回检查同一文件,行为模式符合人工操作特征。
研究人员指出,这起攻击背后似乎是一位“有条理的操作者”,手法偏向手动操作而非依赖自动化脚本,目标明确,主要集中在窃取.env凭据和SSH密钥等高价值资产上。
Marimo开发团队在公告中表明,CVE-2026-39987是预先验证身分的远程代码执行(RCE)弱点,起因是终端机的Web Socket端点缺乏身分验证机制,未经身分验证的攻击者可借此取得完整的伪终端(Pseudo-Terminal,PTY)Shell,并执行任意命令, 影响0.20.4版以下的Marimo,该团队发布0.23.0版进行修补。 对于此漏洞的危险程度,GitHub将其CVSS v4.0评为9.3分(满分10分)。
开发人员特别指出,漏洞主要影响两类用户:
值得注意的是,Windows环境不受该漏洞影响,因为supports_terminal()会预先判断系统是否支持pty库,若不支持则直接拒绝连接。
风险评估:为什么这个漏洞如此危险?
1. 利用门槛极低:攻击者无需复杂payload,只需建立WebSocket连接即可获得完整shell权限,极易被武器化。
2. 目标环境价值高:Marimo常用于数据科学、机器学习实验等高价值环境,这些环境中往往存储着.env文件、云平台密钥、内部API凭据、数据库连接信息、源代码仓库访问凭据等敏感数据。
3. 真实暴露面可观:安全研究机构Endor Labs对186个互联网可达的Marimo基础URL做了验证,其中30个样本(约16%)能够直接完成未认证/terminal/wsWebSocket升级。研究者指出,这仅是有限样本,真实暴露面可能更大。
4. 修复窗口急剧缩短:此次快速利用符合AI及开源工具漏洞的普遍趋势。今年早些时候,Langflow的关键漏洞在披露20小时内被武器化,而Marimo案例将这一窗口缩短了近一半。
Marimo漏洞事件再次敲响警钟:任何暴露在互联网上且发布了关键公告的应用,无论用户基数大小,都可能在几小时内成为攻击目标。该漏洞也延续了AI相关开发工具(如MLflow、n8n和Langflow)中关键RCE漏洞的常见模式:本为便利设计的代码执行功能,在缺乏统一认证控制时,一旦暴露于互联网,即成为高危入口。
对于数据科学和AI开发团队而言,此次事件提醒我们:将Notebook和AI分析类服务纳入攻击面持续管理范围,对外部可达的开发、分析和调试类服务建立固定清单和周期审计机制,已成为现代研发安全不可或缺的一环。
在AI工具快速普及的今天,安全与便利的平衡从未如此重要——而Marimo的这次“惊魂10小时”,正是这一平衡被打破时的真实写照。
安情视界——洞见未来,智掌先机,持续追踪全球安全动态,精准解读政策与事件,深度预测研判趋势,护航企业全球化征程。
AI安全产品研发与定制:提供大模型系统安全评估系统/AI攻防靶场、大模型防火墙、数据沙箱、RBIweb安全防护、全流量威胁分析、敏感信息检查等系列产品的定制开发,以及网络安全方案的咨询、规划、集成。企业级数据安全治理:提供数据安全规划、数据安全评估、数据资产梳理、数据分类分级、数据安全规范编制、数据安全整改、渗透测试等系列服务。企业级网络安全培训:提供网络安全意识(O)、网络安全专业技能(T)、网络安全领导力管理(M)、网络安全运维管理(P)、数据安全治理(D)、网络&数据安全攻防演练(N/D Attack/Defense Exercise)等系列培训服务。联系我们:13301398120 010-64937155