“BadHost”漏洞击穿 AI Agent 安全防线近期安全研究人员发现一个仅需“1 个字符”即可触发的漏洞正在威胁大量 AI Agent 与 MCPModel Context Protocol基础设施。此漏洞已被登记为 CVE - 2026 - 48710代号 “BadHost”存在于 Python 开源框架 Starlette 中该框架每周下载量约 3.25 亿次大量 AI 基础设施如 FastAPI、vLLM、LiteLLM 等都建立在它之上。认证与路由解析不一致漏洞的技术链路此次问题的核心在于 Starlette 对 HTTP Host Header 的处理逻辑。当浏览器或客户端向服务器发送请求时会带上 Host Header 告知服务器要访问的域名Starlette 会根据这个 Header 重建请求 URL但它未检查 Header 是否合法。攻击者构造恶意 Header在 URL 中插入额外路径信息使路由系统检查真实请求路径正常认证系统检查重建后的 URL 被误导以为用户访问的是“允许访问”的资源最终认证通过攻击者成功进入系统。这其实就是认证层与路由层对同一个请求产生了解析不一致Parsing Inconsistency该漏洞容易长期潜伏。AI Agent 场景下的高危漏洞如果是普通网站漏洞问题或许没那么严重但在 AI Agent 与 MCP Server 爆发的当下情况变得异常敏感。MCP Server 需长期保存各种高权限 Credential是攻击者最想拿下的位置而 BadHost 可让攻击者绕过认证逻辑直接进入这些系统。然而Starlette 维护团队在 GitHub 安全公告中给出的 CVSS 评分仅为 6.5中等威胁很多安全研究人员认为低估了该漏洞的真实危险程度。互联网扫描敏感数据与工业设备面临威胁安全机构 X41 D - Sec 在互联网扫描发现大量可被 BadHost 直接触达的生产系统涉及生物制药公司的临床试验数据库、企业邮件系统完整访问权限、SaaS 平台后台等敏感数据。甚至某些工业设备通过 Bastion Host堡垒机开放 SSH 访问攻击者攻击成功后理论上可获得工业基础设施的远程代码执行能力RCE从“数据泄露”升级到“物理设备控制”危险等级大幅提升。底层依赖风险与升级提醒Starlette 在 Python AI 生态中处于核心位置是 FastAPI 的核心依赖而大多数 Python AI 项目通过 FastAPI 等上层框架间接引入 Starlette很多团队没意识到自己的项目已间接依赖该框架。目前官方虽在 Starlette 1.0.1 中修复了问题但很多团队只升级了顶层应用漏洞仍存在于深层依赖链。研究人员提醒即便未直接安装 Starlette使用 FastAPI、LiteLLM、vLLM、OpenAI Proxy、MCP Framework 等都应立刻检查完整的依赖树。此外X41 D - Sec 与 Nemesis 发布了公开扫描工具https://mcp - scan.nemesis.services/用于检测服务器是否仍运行存在漏洞的版本。编辑观点AI 系统权限扩大底层框架漏洞危害巨大。开发者应重视底层依赖风险及时检查升级安全机构需加强监测预警共同筑牢 AI 安全防线。
AI Agent 遇危机:Python 开源框架 1 字符漏洞或致系统级风险
“BadHost”漏洞击穿 AI Agent 安全防线近期安全研究人员发现一个仅需“1 个字符”即可触发的漏洞正在威胁大量 AI Agent 与 MCPModel Context Protocol基础设施。此漏洞已被登记为 CVE - 2026 - 48710代号 “BadHost”存在于 Python 开源框架 Starlette 中该框架每周下载量约 3.25 亿次大量 AI 基础设施如 FastAPI、vLLM、LiteLLM 等都建立在它之上。认证与路由解析不一致漏洞的技术链路此次问题的核心在于 Starlette 对 HTTP Host Header 的处理逻辑。当浏览器或客户端向服务器发送请求时会带上 Host Header 告知服务器要访问的域名Starlette 会根据这个 Header 重建请求 URL但它未检查 Header 是否合法。攻击者构造恶意 Header在 URL 中插入额外路径信息使路由系统检查真实请求路径正常认证系统检查重建后的 URL 被误导以为用户访问的是“允许访问”的资源最终认证通过攻击者成功进入系统。这其实就是认证层与路由层对同一个请求产生了解析不一致Parsing Inconsistency该漏洞容易长期潜伏。AI Agent 场景下的高危漏洞如果是普通网站漏洞问题或许没那么严重但在 AI Agent 与 MCP Server 爆发的当下情况变得异常敏感。MCP Server 需长期保存各种高权限 Credential是攻击者最想拿下的位置而 BadHost 可让攻击者绕过认证逻辑直接进入这些系统。然而Starlette 维护团队在 GitHub 安全公告中给出的 CVSS 评分仅为 6.5中等威胁很多安全研究人员认为低估了该漏洞的真实危险程度。互联网扫描敏感数据与工业设备面临威胁安全机构 X41 D - Sec 在互联网扫描发现大量可被 BadHost 直接触达的生产系统涉及生物制药公司的临床试验数据库、企业邮件系统完整访问权限、SaaS 平台后台等敏感数据。甚至某些工业设备通过 Bastion Host堡垒机开放 SSH 访问攻击者攻击成功后理论上可获得工业基础设施的远程代码执行能力RCE从“数据泄露”升级到“物理设备控制”危险等级大幅提升。底层依赖风险与升级提醒Starlette 在 Python AI 生态中处于核心位置是 FastAPI 的核心依赖而大多数 Python AI 项目通过 FastAPI 等上层框架间接引入 Starlette很多团队没意识到自己的项目已间接依赖该框架。目前官方虽在 Starlette 1.0.1 中修复了问题但很多团队只升级了顶层应用漏洞仍存在于深层依赖链。研究人员提醒即便未直接安装 Starlette使用 FastAPI、LiteLLM、vLLM、OpenAI Proxy、MCP Framework 等都应立刻检查完整的依赖树。此外X41 D - Sec 与 Nemesis 发布了公开扫描工具https://mcp - scan.nemesis.services/用于检测服务器是否仍运行存在漏洞的版本。编辑观点AI 系统权限扩大底层框架漏洞危害巨大。开发者应重视底层依赖风险及时检查升级安全机构需加强监测预警共同筑牢 AI 安全防线。
