开源包中的关键漏洞危及数百万个AI代理

一句话看懂：开源框架Starlette被曝出一个关键漏洞，攻击者只需在HTTP请求头中注入一个字符，就能绕过认证、窃取AI代理所存储的敏感数据和第三方凭证，数百万个运行Starlette及FastAPI等衍生框架的AI服务器面临直接风险。

事件核心：发生了什么

安全公司X41 D-Sec与Nemesis联合披露了一个编号为CVE-2026-48710的漏洞，并取名BadHost。该漏洞存在于开源ASGI框架Starlette中——Starlette每周下载量高达3.25亿次，是FastAPI、vLLM、LiteLLM等众多Python AI工具链的基础组件。漏洞允许攻击者通过篡改HTTP Host头字段，使服务器重建出与真实请求路径不同的URL，从而绕过基于路径认证的权限检查。受影响的系统一旦成功入侵，攻击者可读取、修改或删除AI代理通过MCP（模型上下文协议）连接的外部资源凭证，包括数据库、邮箱、日历和SaaS账户等。X41 D-Sec实测发现，暴露的数据涉及生物制药临床试验数据、身份验证人脸分析、IoT远程命令执行、企业邮箱全量读写、HR候选者隐私信息、云监控拓扑等十多个敏感类别。该漏洞在Starlette 1.0.1版本中已修复，但此前版本均受影响，且许多生产系统仍未更新。

为什么重要

该漏洞之所以具有“关键”严重性，并非因为Starlette本身使用广泛，而是因为它恰好命中了当前AI生态中最脆弱的环节——AI代理。随着各大厂商推出MCP协议让AI代理访问外部系统，这些代理的后台服务器需要存储大量第三方服务凭证。BadHost提供了一个低成本、高收益的入口：单字符注入即可绕过认证，远比传统复杂攻击链可操作。更关键的是，漏洞影响的不只是AI代理本身，还包括评估仪表盘、模型管理器、OpenAI兼容代理等高价值资产，攻击面极其广阔。漏洞描述当前CVSS评分仅为7分（中等），安全研究者普遍认为该评分“严重低估”了实际风险，尤其是在AI代理直接与企业内部数据对接的场景下。

对用户/开发者/创作者的影响

普通用户：如果你在使用基于FastAPI或MCP协议的AI工具（如本地部署的模型管理界面、AI聊天工具），你的凭证数据可能因后端未更新而暴露。建议立即检查服务商是否已升级至Starlette 1.0.1或以上版本。

开发者：使用FastAPI、vLLM、LiteLLM等框架开发AI服务的团队，必须在生产环境中确认Starlette版本号。不要轻信Host头校验——该漏洞提示了“重建URL”与“实际路径”之间的不一致带来的认证绕过风险，未来应在中间件层自行添加Host头验证逻辑。此外，MCP服务器中存储的第三方凭证应加密存储并限制最小访问权限。

企业采购与安全团队：对采购的AI平台或工具进行安全审计时，应将依赖的框架版本纳入检查清单。X41 D-Sec已提供在线扫描工具，可快速检测某服务器是否存在BadHost漏洞。

值得关注的后续

1）漏洞修复后，各依赖项目的更新与补丁推送速度将直接影响行业整体风险窗口，尤其需关注vLLM和LiteLLM等性能敏感型框架是否已同步升级。2）X41与Nemesis公开的扫描工具如果持续运营，可能引发更大规模的暴露面发现，并催生企业级MCP安全基线规范。3）该漏洞暴露出ASGI规范本身对Host头校验的缺失，不排除相关草案或实现标准将迎来修订。