CISA warnt: Langflow-Lücke kann KI-Workflows komplett übernehmen

Worum es geht

Die US-Cybersicherheitsbehörde CISA hat am 21. Mai 2026 zwei aktiv ausgenutzte Schwachstellen in ihren Known Exploited Vulnerabilities Catalog aufgenommen. Für die KI-Welt ist vor allem CVE-2025-34291 relevant: eine Langflow-Lücke, die laut CISA und NVD bis zur vollständigen Systemkompromittierung führen kann.

Langflow ist ein Open-Source-Werkzeug zum Bauen von KI-Workflows, RAG-Anwendungen und Agentenketten. Genau deshalb ist die Meldung wichtiger als eine normale CVE-Notiz: Solche Plattformen speichern oft API-Schlüssel, Tokens und Verbindungen zu Datenbanken, Cloud-Diensten oder internen Tools.

Was Langflow tatsächlich macht

Langflow ist eine visuelle Oberfläche für KI-Anwendungen. Teams verbinden dort Sprachmodelle, Datenquellen, Prompts, Tools und eigene Python-Logik zu Abläufen. Statt jedes Experiment als Codeprojekt aufzusetzen, können Entwickler Bausteine verschalten und schneller testen.

Die gemeldete Schwachstelle liegt nicht in einem Modell, sondern in der Web- und Token-Logik der Plattform. NVD beschreibt eine Kombination aus zu permissiver CORS-Konfiguration, Refresh-Cookies mit SameSite=None und authentifizierten Endpunkten, die nach Token-Diebstahl Zugriff auf Code-Ausführung geben können. Obsidian Security bewertet die Kette mit CVSS 9.4.

Warum das wichtig ist

CISA listet eine Schwachstelle nur im KEV-Katalog, wenn es Belege für aktive Ausnutzung gibt. Bundesbehörden müssen die betroffenen Systeme bis zum 4. Juni 2026 absichern oder außer Betrieb nehmen; CISA empfiehlt die Priorisierung aber ausdrücklich auch privaten Organisationen.

Der Kern ist: KI-Workflow-Tools sind Integrationszentralen. Ein kompromittiertes Langflow-System kann nicht nur den Workflow selbst gefährden, sondern auch gespeicherte Tokens, API-Keys und angebundene Dienste. The Hacker News verweist auf Berichte, nach denen die Lücke bereits in Angriffskontexten auftauchte.

Einfach erklärt

Stell dir Langflow wie einen Werkzeugwagen in einer Werkstatt vor. Darin liegen nicht nur Schraubendreher, sondern auch Schlüssel für Lager, Serverraum und Firmenauto. Wenn jemand den Wagen öffnen kann, ist nicht nur ein Werkzeug weg — plötzlich sind viele Türen erreichbar.

Genau das macht die Lücke so gefährlich: Das eigentliche Problem ist nicht nur Langflow. Das Problem sind die Verbindungen, die Langflow für die Arbeit braucht.

Praktisches Beispiel

Ein mittelständisches Softwareteam betreibt Langflow intern für Support-Automation. Der Workflow greift auf 20.000 Tickets, eine Vektordatenbank, ein CRM und einen Cloud-Speicher zu. Ein Entwickler ist bereits eingeloggt und besucht eine präparierte Webseite.

Wenn die Schwachstelle greift, kann der Angreifer gültige Tokens erhalten und danach authentifizierte Langflow-Endpunkte nutzen. Im schlimmsten Fall werden gespeicherte API-Schlüssel ausgelesen, ein eigener Workflow eingeschleust und Kundendaten aus angebundenen Systemen abgerufen. Aus einem scheinbar kleinen Tool wird dann ein Seiteneingang in mehrere produktive Dienste.

Einordnung und Grenzen

• Die CISA-Meldung belegt aktive Ausnutzung, nennt aber keine vollständige Opferliste. Wer behauptet, welche Unternehmen konkret betroffen sind, braucht zusätzliche Belege.
• Nicht jede Langflow-Installation ist automatisch offen. Risiko und Priorität hängen von Version, Erreichbarkeit, Authentifizierung, gespeicherten Secrets und Netzwerksegmentierung ab.
• Patchen allein reicht nicht immer. Teams sollten Tokens rotieren, Logs prüfen, ausgehende Verbindungen kontrollieren und Langflow-Instanzen von produktiven Systemen trennen.

Für Unternehmen heißt das praktisch: AI-Builder dürfen nicht wie Spielzeugserver behandelt werden. Sie brauchen dieselben Kontrollen wie CI/CD, interne Admin-Panels und Automationsplattformen.

SEO- und GEO-Schlüsselbegriffe

Langflow, CVE-2025-34291, CISA KEV, AI workflow security, RCE, CORS misconfiguration, token theft, AI agents, API keys, vulnerability management, Obsidian Security, NVD