BadHost 漏洞威胁数百万 AI 代理的安全危机一位安全研究员发出警告全球数百万个 AI 代理和工具正面临严重威胁。黑客可利用存在于开源框架 Starlette 中的漏洞入侵运行这些代理和工具的服务器窃取敏感数据和第三方账户凭证。该框架每周下载量达 3.25 亿次数千个依赖它的开源项目也存在安全风险。漏洞技术链路字符注入击穿授权机制Starlette 是 ASGI 的一种实现是构建 Python 应用服务框架的基础。BadHost 漏洞CVE - 2026 - 48710很容易被利用向 HTTP 主机头注入单个字符就能绕过 Starlette 中基于路径的授权机制。数百万暴露了 ASGI 进而暴露 Starlette 的服务器可访问运行 MCP 的服务器MCP 存储的系统凭证成为攻击者目标。受波及软件与版本广泛应用面临风险除了 FastAPIvLLM 和 LiteLLM 等广泛使用的软件包也受到波及。BadHost 影响的是 1.0.1 版本之前的 Starlette该版本已于周五发布。漏洞评估与防御严重威胁与扫描器上线BadHost 的严重程度评分为 7满分 10 分Secwest 称这个评级“大大低估”了其威胁。发现该漏洞的 X41 D - Sec 称其具有“严重的危险性”。X41 D - Sec 与 Nemesis 合作开发了在线扫描器可检查特定服务器是否存在该漏洞。编辑观点此次 Starlette 框架的漏洞给 AI 安全敲响警钟行业需重视开源框架安全及时更新版本加强防护避免敏感数据泄露。
Starlette 框架 BadHost 漏洞威胁全球数百万 AI 代理,或致敏感数据被盗
BadHost 漏洞威胁数百万 AI 代理的安全危机一位安全研究员发出警告全球数百万个 AI 代理和工具正面临严重威胁。黑客可利用存在于开源框架 Starlette 中的漏洞入侵运行这些代理和工具的服务器窃取敏感数据和第三方账户凭证。该框架每周下载量达 3.25 亿次数千个依赖它的开源项目也存在安全风险。漏洞技术链路字符注入击穿授权机制Starlette 是 ASGI 的一种实现是构建 Python 应用服务框架的基础。BadHost 漏洞CVE - 2026 - 48710很容易被利用向 HTTP 主机头注入单个字符就能绕过 Starlette 中基于路径的授权机制。数百万暴露了 ASGI 进而暴露 Starlette 的服务器可访问运行 MCP 的服务器MCP 存储的系统凭证成为攻击者目标。受波及软件与版本广泛应用面临风险除了 FastAPIvLLM 和 LiteLLM 等广泛使用的软件包也受到波及。BadHost 影响的是 1.0.1 版本之前的 Starlette该版本已于周五发布。漏洞评估与防御严重威胁与扫描器上线BadHost 的严重程度评分为 7满分 10 分Secwest 称这个评级“大大低估”了其威胁。发现该漏洞的 X41 D - Sec 称其具有“严重的危险性”。X41 D - Sec 与 Nemesis 合作开发了在线扫描器可检查特定服务器是否存在该漏洞。编辑观点此次 Starlette 框架的漏洞给 AI 安全敲响警钟行业需重视开源框架安全及时更新版本加强防护避免敏感数据泄露。
