Милиони AI агенти са изложени на риск поради критична уязвимост в софтуер с отворен код

Общността на разработчиците на изкуствен интелект се сблъска с критична уязвимост във фреймворка Starlette, който е в основата на FastAPI, както и на други популярни библиотеки за Python приложения, включително vLLM и LiteLLM. Според Ars Technica, грешката позволява на злонамерени лица да проникнат в сървърите, да откраднат поверителни данни и ключове за достъп до външни услуги.

Фреймворкът Starlette, който според разработчика има 325 милиона изтегляния седмично, използва асинхронен интерфейс на сървърния шлюз (ASGI) и има достъп до MCP-сървърите (Model Context Protocol). Именно чрез тях AI-агентите се свързват с външните бази данни, пощенски кутии и календари, като съхраняват данните за вход за всяко свързване, което прави MCP-сървърите изключително ценна цел за атаки.

Самата уязвимост, наречена BadHost и идентифицирана с CVE-2026-48710, се състои в неправилната обработка на HTTP-заглавията и е изключително лесна за експлоатация. Според данни на изследователи от компанията Secwest, вмъкването на само един символ в заглавието Host позволява заобикаляне на авторизацията въз основа на пътя на заявката: Starlette приема невалидни стойности на заглавието Host, поради което атрибутът request.url.path започва да се различава от реалния път, предаден по HTTP. Въпреки че официалната оценка на опасността на заплахата е 7 от 10 точки, специалистите от X41 D-Sec я класифицират като критична, посочвайки риска от SSRF (фалшифициране на сървърни заявки) и, в някои случаи, отдалечено изпълнение на код.

Проблемът пряко засяга множество зависими пакети, сред които се открояват vLLM и LiteLLM, както и прокси сървърите с OpenAI съвместимост, инструментите за управление на AI агентите, панелите за управление на моделите и интерфейси за оценка на тяхната работа. По време на сканиране на мрежата изследователят Маркус Вервиер (Markus Vervier) откри, че в отворен достъп са се оказали базите данни за клиничните тестове в биофармацевтиката, системите за верификация на самоличността, SSH-достъпа до IoT-устройства, пощенските кутии на SaaS-услуги с възможност за четене, HR-системите с лични данни на кандидатите за работа, електронната поща, както и инструментите за облачен мониторинг и киберсигурност.

Разработчикът на фреймворка не отговори на запитването за коментар, но миналия петък пусна коригираната версия Starlette 1.0.1, а компанията X41 D-Sec в партньорство с друга компания в сферата на сигурността, Nemesis, създаде онлайн скенер, който може да проверява дали даден сървър е уязвим.

Мащабът на потенциалните щети е колосален. Тъй като FastAPI (базиран директно върху Starlette) се превърна в индустриален стандарт за бързо разгръщане на AI приложения, софтуерният дефект присъства в инфраструктурата на водещи технологични компании, финансови институции и облачни платформи. Под заплаха са поставени автоматизирани чатботове, системи за анализ на големи масиви от данни и автономни изкуствени агенти, които управляват критични бизнес процеси.