Uma falha de segurança crítica em um dos frameworks web Python mais amplamente utilizados deixou milhões de agentes de IA, ferramentas de aprendizado de máquina e serviços de produção vulneráveis a atacantes não autenticados. A vulnerabilidade, rastreada como CVE-2026-48710 e apelidada de “BadHost”, afeta o Starlette, um framework de código aberto que recebe 325 milhões de downloads por semana.
Isso não é um erro de digitação. 325 milhões. Por semana. E como a Starlette serve como base para o FastAPI e um extenso ecossistema de projetos assíncronos em Python, o alcance do impacto se estende muito além de uma única biblioteca.
O que o BadHost realmente faz
O Starlette reconstrói a URL de uma requisição tomando o cabeçalho HTTP Host, que um atacante pode manipular livremente, e concatenando-o com o caminho da requisição antes de analisar novamente o resultado. O framework nunca valida primeiro o cabeçalho Host.
Ao injetar certos caracteres, como /, ? ou # no cabeçalho Host, um atacante pode alterar onde os limites do caminho caem na URL reconstruída. Isso permite que eles contornem qualquer middleware que dependa de verificações de autenticação baseadas em caminho. Nenhuma credencial necessária. Nenhuma cadeia de exploração sofisticada. Apenas um cabeçalho HTTP criado especificamente.
O resultado é uma contornagem completa de autenticação nas aplicações afetadas. Atacantes que exploram o BadHost podem acessar endpoints protegidos, obter dados sensíveis e potencialmente roubar credenciais de serviços de terceiros conectados à aplicação vulnerável.
O problema da infraestrutura de IA
O que torna isso particularmente alarmante é a lista de projetos downstream que dependem do Starlette. O FastAPI, um dos frameworks mais populares para construir serviços web em Python, é executado sobre ele. O mesmo ocorre com vLLM e LiteLLM, dois frameworks amplamente implantados para servir modelos de linguagem de grande porte em ambientes de produção. Os servidores MCP, a infraestrutura do Model Context Protocol que impulsiona as ferramentas de agentes de IA, também estão envolvidos. Milhares de projetos de código aberto exigem o Starlette para funcionar, criando uma vasta rede de dependências transitivas onde uma única vulnerabilidade se propaga para fora.
A vulnerabilidade afeta todas as versões do Starlette anteriores à 1.0.1. Correções foram lançadas a partir dessa versão, e um scanner gratuito para identificar aplicações afetadas está disponível em badhost.org.
Um padrão, não uma anomalia
BadHost não surgiu no vácuo. A divulgação ocorre no meio de uma onda crescente de problemas de segurança atingindo frameworks de agentes de IA ao longo de 2025 e 2026, incluindo ataques de injeção de prompt e vulnerabilidades de execução remota de código.
Um projeto pode nem mesmo importar diretamente o Starlette, mas ainda assim estar vulnerável porque algo de que depende o faz.
O que isso significa para os investidores
A implicação imediata é operacional. Equipes que executam agentes de IA ou infraestrutura de serviço de LLM precisam verificar suas árvores de dependências e atualizar para o Starlette 1.0.1 ou versão posterior. Qualquer atraso aumenta a exposição a uma exploração que não requer autenticação nem acesso especial para ser executada.