Starlette漏洞威胁AI代理和Python服务
Ars Technica AI··作者 Dan Goodin
关键信息
研究人员表示,该漏洞几乎可以轻易利用,主要影响那些没有正确配置防火墙保护的系统。X41 D-Sec 将其定为关键级漏洞,而 Secwest 认为官方 7/10 的严重性评分低估了基于 Starlette 构建的软件在现实中的风险,包括 vLLM、LiteLLM、Text Generation Inference、OpenAI 仿真代理、MCP 服务器、代理运行框架、评测仪表盘和模型管理界面。
资讯摘要
安全研究人员警告称,Starlette 中的一个严重漏洞正在让数百万个 AI 代理以及相关的 Python 服务面临风险。Starlette 是一个轻量级的 ASGI 框架,在 Python Web 服务中被广泛使用,其开发者表示它每周下载量达到 3.25 亿次。由于 FastAPI 和许多其他流行软件包都依赖 Starlette,这个漏洞的影响远不止单个项目,而是波及整个 Python 生态中相当大的一部分。该漏洞编号为 CVE-2026-48710,发现者将其命名为 BadHost。
根据 Secwest 的说法,只需在 HTTP Host 头中注入一个字符,就可能绕过 Starlette 中基于路径的授权,而 Starlette 正是 FastAPI 的路由核心。这个问题对 MCP 服务器尤其危险,因为 MCP 让 AI 代理能够连接外部系统,例如用户数据库、电子邮件、日历账户和其他资源。此类服务器通常会保存所连接服务的凭据,因此对攻击者来说非常具有吸引力,可能被用来窃取敏感数据和账户。发现该漏洞的 X41 D-Sec 已在周五发布 Starlette 1.0.1 来修复 1.0.1 之前的版本,同时还与 Nemesis 合作提供了一个在线扫描器,用于检查服务器是否存在漏洞。
资讯正文
一名安全研究人员警告称,全球数以百万计的 AI 代理和工具正因一个严重漏洞而面临风险,该漏洞可能使黑客入侵运行这些工具的服务器,并窃取敏感数据以及第三方账户凭据。
该漏洞存在于 Starlette 中。其开发者表示,这一开源框架每周接收 3.25 亿次下载。由于许多其他开源项目都依赖 Starlette 才能运行,因此它们也同样受到影响。Starlette 是 ASGI(异步服务器网关接口)的一种实现,能够高效地同时处理大量请求。Starlette 是 FastAPI 以及其他许多广泛用于在 Python 应用中构建服务的框架的基础,同时也被许多其他项目使用。
极易利用,数以百万计的服务器暴露在外
ASGI 及其延伸的 Starlette 可以访问运行 MCP(模型上下文协议)的服务器,而该协议允许来自主要厂商的 AI 代理访问外部来源,包括用户数据库、电子邮件和日历账户,以及各种其他资源。为了连接这些外部系统,MCP 服务器会存储各自的凭据,这也使它们成为攻击者极具价值的入侵目标。
该漏洞被追踪为 CVE-2026-48710,名称为 BadHost,极易被利用,并且对大多数未置于正确配置防火墙之后的系统都有效。除 FastAPI 外,其他广泛使用的软件包——包括 vLLM 和 LiteLLM——也受到影响。BadHost 影响的是 1.0.1 之前的 Starlette 版本,1.0.1 已于周五发布。
Secwest 的研究人员写道:“只需向 HTTP Host 头注入一个字符,就能绕过 Starlette 中基于路径的授权,而 Starlette 正是 FastAPI 的路由核心。通过 FastAPI,这一原语(如今被追踪为 CVE-2026-48710,并被发现者命名为 BadHost)覆盖了 Python AI 工具生态系统中的很大一部分:vLLM(该漏洞就是在这里被发现的)、LiteLLM、Text Generation Inference、大多数 OpenAI shim 代理、MCP 服务器、agent harness、评测仪表盘,以及模型管理界面。”
BadHost 的严重性评级为 10 分中的 7 分。Secwest 表示,这一分类“实质上低估”了它对那些依赖 Starlette 的其他应用用户所构成的威胁。发现该漏洞的安全公司 X41 D-Sec 将其描述为“严重级别”。X41 D-Sec 还与另一家安全公司 Nemesis 合作,创建了一个在线扫描器,可用于检查某个服务器是否存在该漏洞。
来源与参考