5月27日,安全研究人员披露了一个影响Starlette开源Python包的高危漏洞,代号“BadHost”。该漏洞波及数百万直接或间接依赖该包的AI代理、API服务及Web应用,引发业界震动。Starlette是Python生态中轻量级异步Web框架的核心组件,每周下载量高达3.25亿次,被FastAPI、LangChain、Sanic等主流框架广泛采用。随着AI代理和自动驾驶、智能客服等场景的爆发,该漏洞的潜在破坏力被成倍放大。
漏洞细节:主机头欺骗引发的连锁反应
据Ars Technica报道,BadHost漏洞存在于Starlette的URL解析与请求分发机制中。当处理包含伪造“Host”头或格式错误的HTTP请求时,框架未能正确验证主机名,允许攻击者绕过内部身份验证、执行缓存投毒或实施会话劫持。更严重的是,许多AI代理系统(如基于LangChain的Agent)会将用户请求直接转发至外部API,中间环节的校验失效意味着恶意指令可能渗透至后端核心模块。安全公司DFIR的研究员指出:“这不仅是Web应用漏洞,更是AI供应链的薄弱环节。攻击者可以伪装成合法服务商,操控AI代理的行为逻辑。”
“每一个使用Starlette构建的AI代理,都可能成为攻击链中的‘特洛伊木马’。” —— DFIR首席研究员 佐藤健
在PoC中,攻击者通过预先植入的木马利用该漏洞,在黑盒环境下成功篡改了某头部云服务商的多模态AI模型的输出结果。尽管Starlette团队已在24小时内发布补丁(版本0.38.4+),但受影响系统的升级进程可能滞后。据统计,截至发稿,仍有超过60%的Starlette实例尚未打补丁。
AI Agent:漏洞的“完美受害者”
与传统的Web应用不同,AI代理具备自主决策、工具调用和环境交互能力。一旦代理的HTTP客户端被利用,攻击者不仅可窃取对话历史,还能指令代理恶意调用第三方接口,甚至间接操控外部数据库、文件系统。OpenAI、Anthropic等平台虽未直接使用该包,但其众多第三方插件和Agent托管服务(如AutoGPT、SuperAGI)均依赖FastAPI,进而受星号影响。业界专家呼吁建立“AI框架安全基线”,对关键依赖实施强制性代码审计。
编者按:开源安全与AI时代的博弈
BadHost漏洞并非孤例。2025年爆发的“Log4j2-CVE-2025”曾导致全球半数AI推理服务中断。Starlette的案例再次敲响警钟:当AI应用飞速迭代,开发者往往优先关注模型能力与性能,却忽视底层基础设施的固件级脆弱性。MongoDB、Redis等数据层漏洞频发,如今Web框架成为新的突破点。建议企业:1)建立SBOM(软件物料清单)并实时追踪依赖漏洞;2)对AI代理的对外HTTP请求实施沙箱隔离;3)采用零信任架构,即便“合法”的代理也需逐次鉴权。唯有将安全左移,才能让AI真正可靠。
本文编译自Ars Technica
© 2026 Winzheng.com 赢政天下 | 转载请注明来源并附原文链接