Kekurangan keselamatan kritikal dalam salah satu rangka kerja web Python yang paling banyak digunakan telah meninggalkan jutaan agen AI, alat pembelajaran mesin, dan perkhidmatan pengeluaran rentan terhadap serangan tanpa autentikasi. Kekurangan ini, dilacak sebagai CVE-2026-48710 dan dijuluki “BadHost”, mempengaruhi Starlette, sebuah rangka kerja sumber terbuka yang menerima 325 juta muat turun seminggu.
Itu bukan kesilapan ketik. 325 juta. Seminggu. Dan kerana Starlette berfungsi sebagai asas untuk FastAPI dan sebuah ekosistem yang luas bagi projek Python async, kesan letupannya meluas jauh melampaui satu pustaka sahaja.
Apa yang sebenarnya dilakukan oleh BadHost
Starlette meng重建 permintaan URL dengan mengambil header HTTP Host, yang boleh dimanipulasi secara bebas oleh penyerang, dan menggabungkannya dengan laluan permintaan sebelum menguraikan semula hasilnya. Kerangka kerja tidak pernah mengesahkan header Host terlebih dahulu.
Dengan menyuntikkan karakter tertentu seperti /, ?, atau # ke dalam header Host, penyerang boleh mengubah di mana sempadan laluan berlaku dalam URL yang dibina semula. Ini membolehkan mereka melintasi sebarang middleware yang bergantung kepada pemeriksaan autentikasi berdasarkan laluan. Tiada kredensial diperlukan. Tiada rangkaian eksploit yang canggih. Hanya satu header HTTP yang dirangka.
Hasilnya adalah laluan pengesahan yang lengkap pada aplikasi yang terjejas. Penyerang yang memanfaatkan BadHost boleh mencapai endpoint yang dilindungi, mengakses data sensitif, dan berpotensi mencuri kredensial untuk perkhidmatan pihak ketiga yang terhubung dengan aplikasi yang rentan.
Masalah infrastruktur AI
Apa yang menjadikan ini sangat mengkhawatirkan ialah senarai projek hilir yang bergantung kepada Starlette. FastAPI, salah satu rangka kerja paling popular untuk membina perkhidmatan web Python, berjalan di atasnya. Demikian juga vLLM dan LiteLLM, dua rangka kerja yang banyak digunakan untuk menyediakan model bahasa besar dalam persekitaran pengeluaran. Server MCP, infrastruktur Model Context Protocol yang membenarkan alat agen AI, juga terlibat. Ribuan projek sumber terbuka memerlukan Starlette untuk berfungsi, mencipta jaringan besar ketergantungan transitif di mana satu kelemahan sahaja menyebar keluar.
Kerentanan ini mempengaruhi semua versi Starlette sebelum 1.0.1. Pembaikan telah dikeluarkan bermula dari versi tersebut, dan pemindai percuma untuk mengenal pasti aplikasi yang terkesan tersedia di badhost.org.
Pola, bukan anomali
BadHost tidak muncul dalam kekosongan. Pengungkapan ini berlaku semasa gelombang masalah keselamatan yang semakin meningkat menyerang rangka kerja agen AI sepanjang 2025 dan 2026, termasuk serangan penyuntikan arahan dan kerentanan eksekusi kod jauh.
Sesuatu projek mungkin tidak mengimport Starlette secara langsung tetapi masih rentan kerana sesuatu yang ia bergantung padanya melakukannya.
Apa yang bermaksud ini kepada pelabur
Implikasi segera adalah operasional. Pasukan yang menjalankan agen AI atau infrastruktur perkhidmatan LLM perlu memeriksa pohon kebergantungan mereka dan mengemas kini ke Starlette 1.0.1 atau versi yang lebih baru. Sebarang penundaan akan meningkatkan eksposur terhadap eksploit yang tidak memerlukan autentikasi atau akses khas untuk dilaksanakan.