摘要
过去几年,AI 圈一直在疯狂讨论“大模型能力边界”。 但很多人忽略了一件事:真正危险的,未必是模型本身,而是那些把模型连接到真实世界的基础设施。当 AI Agent 开始接管邮箱、数据库、企业 SaaS、代码仓库、云资源,甚至工业设备时,一个原本看起来“普通”的 Web 框架漏洞,可能就会瞬间变成现实世界的安全灾难。 最近,安全研究人员就发现了这样一个问题:一个仅需“1 个字符”即可触发的漏洞,正在威胁大量 AI Agent 与 MCP(Model Context Protocol)基础设施。攻击者甚至可能绕过认证机制,直接访问邮箱系统、用户数据库、企业云环境,以及部分工业设备控制入口。 更关键的是:这个漏洞并不藏在某个冷门项目里。它存在于 Python 开源框架 Starlette 中——一个每周下载量高达约 3.25 亿次的基础组件。而 FastAPI、vLLM、LiteLLM 等大量 AI 基础设施,又恰恰建立在它之上。 一个“地基级”漏洞:整个 Python AI 生态都可能中招 这个漏洞目前已经被登记为CVE-2026-48710,代号 “BadHost”。此次问题的核心,出现在 Starlette 对 HTTP Host Header 的处理逻辑上。 如果你做过 Web 开发,大概率知道:当浏览器或客户端向服务器发送请求时,会带上一个 Host Header,用来告诉服务器“我要访问哪个域名”。Starlette 会根据这个 Header 重建请求 URL,可问题在于:它从来没有检查这个 Header 是否合法。 于是,攻击者就可以构造一个恶意 Header,在 URL 中插入额外路径信息,从而制造“系统认知错位”: ● 路由系统:检查真实请求路径,发现一切正常。 ● 认证系统:检查重建后的 URL,结果被误导,以为用户访问的是“允许访问”的资源。 最终:认证通过,攻击者成功进入系统。 整个漏洞核心,其实就是:认证层与路由层,对同一个请求产生了解析不一致(Parsing Inconsistency)。这种漏洞最可怕的地方在于:它事后看起来非常简单,甚至有些“低级”。但也正因为如此,它极容易长期潜伏。 在形容这个漏洞的危险程度时,研究人员直言:“只需要一个字符,门就开了。”…
摘要可能不完整,可查看原文
相关事件
暂无数据
相关公司
暂无数据
相关人物
暂无数据