Миллионы AI-агентов и инструментов по всему миру оказались под угрозой из-за критической уязвимости, которая позволяет хакерам взламывать серверы, управляющие ими, и похищать конфиденциальные данные, включая учётные данные для сторонних аккаунтов. Об этом предупреждают исследователи в области безопасности.
Уязвимость в популярном фреймворке
Уязвимость присутствует в Starlette — популярном фреймворке с открытым исходным кодом, который, по словам разработчика, скачивается 325 миллионов раз в неделю. Под угрозой находятся тысячи других проектов, поскольку они зависят от Starlette для своей работы. Этот фреймворк представляет собой реализацию ASGI (асинхронного серверного шлюзового интерфейса), который позволяет эффективно обрабатывать большое количество запросов одновременно. Starlette является основой для FastAPI и других широко используемых фреймворков для создания сервисов на Python.
Простота эксплуатации и масштабы угрозы
Уязвимость, получившая идентификатор CVE-2026-48710 и название BadHost, тривиальна в эксплуатации и затрагивает большинство систем, не защищённых правильно настроенным файрволом. Помимо FastAPI, под удар попали и другие популярные пакеты, включая vLLM и LiteLLM. BadHost затрагивает версии Starlette до 1.0.1, которая была выпущена в пятницу.
Исследователи из Secwest объясняют: «Внедрение одного символа в заголовок HTTP Host обходит авторизацию на основе пути в Starlette, ядре маршрутизации FastAPI. Через FastAPI эта примитивная уязвимость достигает большой части экосистемы инструментов AI на Python: vLLM (где она и была обнаружена), LiteLLM, Text Generation Inference, большинство прокси-серверов OpenAI-shim, серверы MCP, платформы для агентов, дашборды для оценки и UI для управления моделями».
Риск для серверов MCP и AI-агентов
Через ASGI и, соответственно, Starlette, возможен доступ к серверам, работающим на протоколе MCP (Model Context Protocol). Этот протокол позволяет AI-агентам от крупных провайдеров получать доступ к внешним источникам, включая базы данных пользователей, аккаунты электронной почты, календари и другие ресурсы. Для подключения к этим системам серверы MCP хранят учётные данные, что делает их особенно ценной целью для атакующих.
Уязвимость BadHost получила оценку серьёзности 7 из 10 баллов. Однако в Secwest считают, что эта классификация «существенно занижает» уровень угрозы для пользователей приложений, зависящих от Starlette. Компания X41 D-Sec, обнаружившая уязвимость, описывает её как «критическую». В партнёрстве с другой фирмой по безопасности, Nemesis, был создан онлайн-сканер для проверки уязвимости конкретных серверов.
