2026 年初，n8n 被多家資安機構揭露存在嚴重沙盒逃逸漏洞，CVSS 评分高達 10.0。作為開源工作流自動化平台，n8n 本應是提升效率的利器，卻因其表達式評估引擎的設計缺陷，讓攻擊者僅需一行代碼就能讓任何有權限的帳戶直接在你的伺服器上為所欲為。這一次的事件不僅敲響了自動化工具的資安警鐘，更暴露了企業在追逐效率紅利時，對系統權力入口的視而不見。本文將深入剖析漏洞技術細節、影響層面，並探討在 AI Agent 浪潮下，我們該如何重新思考automation安全。

n8n 沙盒逃逸漏洞是怎麼被發現的？從 AST 到 RCE 的攻擊鏈

在 2025 年底，Pillar Security 的安全研究員在 n8n 的工作流表達式引擎中發現了严重缺陷。原本 n8n 指望用 AST（抽象語法樹）來清理使用者輸入的 JavaScript 表達式，把它們鎖在沙盒裡。問題出在清理機制不完整，加上類型混淆的漏洞，攻擊者可以爬升原型鏈並碰到 Node.js 的全域物件，從而直接執行系統指令。2025 年 12 月 21 日，Pillar 提交了一份华丽的 PoC，僅僅一行表達式就突破五層防護，实现了完整的沙盒逃逸與 RCE。n8n 於兩天內推出第一個 hotfix，但後續發現修補仍有縫隙，導致 2026 年 1 月必須再次發布 CVE-2026-25049，CVSS 评分 9.4，有些評分模型甚至給出 10.0 的極限分數。SecureLayer7 和 Endor Labs 也各自獨立發現了相關的程式碼注入漏洞，證明了問題不是單點失誤，而是整個安全基礎建設需要重新審視。

這次漏洞的影響範圍究竟有多廣？

n8n 在全球擁有數十萬家企業客戶，涵蓋金融、醫療、零售、科技等關鍵領域。漏洞影響所有使用受影響版本（1.65-1.120.4 以及部分 2.x 版本）的自架與雲端部署。一旦攻擊者取得任何具備工作流編輯權限的帳號（即使是低權限的一般使用者），就能竊取伺服器上所有儲存的憑證、API 金鑰、OAuth 權杖，並利用這些秘密橫向移動到連接的第三方服務，如 Salesforce、GitHub、AWS、Azure 等。Pillar Security 的研究顯示，在某些多租戶架構下，雲端版本的隔離缺陷甚至可能讓攻擊者越權訪問其他客戶的數據。慘的是，許多企業將關鍵业务流程自動化後，根本沒想到這些自动化腳本會成为系統的「特洛伊木馬」。

為什麼 non-technical 部門的工作流設計權限會成為資安漏洞？

你以為資安應該是 IT 部門的事？但在現代企業，自動化已從 IT 專利蔓延到行銷、HR、營運等業務單位。行銷团队會建立自動化抓取社群數據，HR 會自動化員工入職流程，這些工作流往往需要存取 CRM、招聘系統或財務 API。問題在於，非技術背景的工作流創作者通常缺乏安全編程意識，容易寫出包含危险表達式的配置。一旦他們的帳號被钓鱼或憑證洩漏，攻擊者就能利用上述漏洞在同一台伺服器上.execute arbitrary commands. As shown in the diagram below, a seemingly harmless CSV processing node could hide a system command injection.

更糟糕的是，很多企業為了追求「民主化自動化」，刻意將工作流編集權限下放給非技術單位，卻沒有配套的安全訓練或審查流程。結果就是，自動化平台變成了權力極度分散的「特洛伊木馬」工廠。

AI Agent 會如何放大工作流自動化的安全風險？

根據 Gartner 預測，到 2026 年底，40% 的企業軟體將整合 AI 代理（任務專用型），較 2025 年的不足 5% 成長 8 倍。這意味著，自動化工具不再只是被動執行預先編程的職務，而是能根據外部輸入動態規劃一系列操作。如果一個 AI 代理被指示「幫我整理上個月的客戶投訴並存到資料庫」，它可能會自動生成一個包含 n8n 節點的工作流，而這個生成的過程中，若未對 AI 的輸出進行限制，就可能產生包含惡意表達式的配置。

OWASP 在 2026 年发布的《Agentic Applications Top 10》明確指出，AI 代理特有的風險如「目標劫持」（attacker modifies the goal）和「工具逃逸」（agent escapes its sandbox）將成為主要威脅。簡單來說，問題從「檢查程式碼」變成了「監督行為本身」——一個難度更高的范式轉移。

2026-2027 年工作流自動化與資安市場的趨勢預測

根據 Mordor Intelligence 的報告，全球工作流自動化市場將從 2025 年的 237.7 億美元成長至 2031 年的 407.7 億美元，年複合成長率 9.41%。伴隨著這波成長，安全功能正迅速成為市場差異化的關鍵。Gartner 分析師指出，到 2027 年，安全將成為自動化平台採購的前三大考量因素，超過 60% 的企業將要求供應商提供 ISO 27001、SOC 2 等獨立認證，以及完善的漏洞披露計畫。

OWASP Top 10 for Agentic Applications 的推出，預計將催生一批新標準與合規框架，專門針對 AI 代理的行為審計與工具使用進行規範。與此同時，zero-trust 網路架構將延伸至自動化層，要求每一次工作流節點調用都經過身份驗證與授權。企業若只關注效率而忽略安全，未來的系統性風險只會持續累積，直到下一次類似 n8n 的漏洞引發大規模事件。

常見問題

n8n 漏洞對我的企業具體有哪些威脅？

攻擊者一旦取得具備工作流編輯權限的任何帳號，便能執行遠端代碼（RCE），竊取伺服器上所有環境變數、API 金鑰與 OAuth 憑據。這意味著連接至 n8n 的 CRM、資料庫、雲端平台都可能被橫向移動，導致數據外洩或金融損失。對自架用戶而言，整台伺服器可能完全失控；對雲端用戶，多租戶隔離若存在缺陷，甚至可能波及其他客戶。

如果我們正在使用 n8n，該怎麼辦？

第一時間升級至 1.123.17 或 2.5.2 以上版本。其次，立即審查所有帳號的權限，僅授予必要的最小權限；對於非技術單位，考慮移除工作流建立權限或改由中央團隊管理。此外，建議暫時停用外部 Webhook 與 SSH 集成，直到完成全面安全稽核。定期輪轉所有 API 金鑰與 OAuth 權杖，並啟用多因素驗證。

AI Agent 會讓工作流自動化變得更危險嗎？

會的。AI Agent 能根據外部輸入動態生成並執行工作流，這將原本靜態的代碼檢查升級為「實時行為監督」的難度。根據 OWASP 2026 年发布的 Top 10 for Agentic Applications，目標劫持與工具逃逸已成為最棘手的風險。企業若未為 AI 代理配置低權限身份並啟用行為白名單，等於在自動化系統中埋下不定時炸彈。

參考資料

• The Hacker News: Critical n8n Vulnerability (CVSS 10.0) Allows Unauthenticated Attackers …
• BleepingComputer: Critical n8n flaws disclosed along with public exploits
• n8n Security Advisory: Security Vulnerability in n8n Versions 1.65-1.120.4
• CVE-2026-25049 Details
• Pillar Security: n8n Sandbox Escape: Critical Vulnerabilities in n8n Exposes Hundreds of Thousands of Enterprise AI Systems
• OWASP Top 10 for Agentic Applications 2026
• Gartner Strategic Predictions for 2026
• Mordor Intelligence: Workflow Automation Market Report
• n8n Official Documentation