Một lỗ hổng bảo mật nghiêm trọng trong một trong những khung web Python được sử dụng rộng rãi nhất đã khiến hàng triệu tác nhân AI, công cụ học máy và dịch vụ sản xuất dễ bị tổn thương trước các cuộc tấn công không xác thực. Lỗ hổng này, được theo dõi dưới mã CVE-2026-48710 và có biệt danh “BadHost”, ảnh hưởng đến Starlette, một khung mã nguồn mở nhận 325 triệu lượt tải về mỗi tuần.
Đó không phải là lỗi đánh máy. 325 triệu. Mỗi tuần. Và vì Starlette đóng vai trò là nền tảng cho FastAPI và một hệ sinh thái rộng lớn các dự án Python async, phạm vi ảnh hưởng mở rộng xa hơn nhiều so với một thư viện đơn lẻ.
BadHost thực sự làm gì
Starlette tái tạo URL của yêu cầu bằng cách lấy tiêu đề HTTP Host, mà kẻ tấn công có thể thao túng tự do, và nối nó với đường dẫn yêu cầu trước khi phân tích lại kết quả. Khung làm việc không bao giờ xác thực tiêu đề Host trước.
Bằng cách chèn các ký tự nhất định như /, ?, hoặc # vào tiêu đề Host, kẻ tấn công có thể thay đổi vị trí các ranh giới đường dẫn trong URL được tái tạo. Điều này cho phép chúng lách qua bất kỳ middleware nào dựa vào kiểm tra xác thực dựa trên đường dẫn. Không cần xác thực. Không cần chuỗi khai thác phức tạp. Chỉ cần một tiêu đề HTTP được tạo sẵn.
Kết quả là một lỗ hổng bỏ qua xác thực hoàn toàn trên các ứng dụng bị ảnh hưởng. Những kẻ tấn công khai thác BadHost có thể truy cập vào các điểm cuối được bảo vệ, truy cập dữ liệu nhạy cảm và có thể đánh cắp thông tin xác thực cho các dịch vụ bên thứ ba được kết nối với ứng dụng dễ bị tổn thương.
Vấn đề về hạ tầng AI
Điều khiến điều này đặc biệt đáng lo ngại là danh sách các dự án phụ thuộc vào Starlette. FastAPI, một trong những khung công tác phổ biến nhất để xây dựng dịch vụ web Python, chạy trên nền tảng của nó. VLLM và LiteLLM, hai khung công tác được triển khai rộng rãi để phục vụ các mô hình ngôn ngữ lớn trong môi trường sản xuất, cũng bị ảnh hưởng. Các máy chủ MCP, hạ tầng Giao thức Bối cảnh Mô hình hỗ trợ công cụ đại lý AI, cũng liên quan. Hàng ngàn dự án mã nguồn mở yêu cầu Starlette để hoạt động, tạo thành một mạng lưới phụ thuộc chuyển tiếp khổng lồ, nơi một lỗ hổng duy nhất lan truyền ra ngoài.
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản Starlette trước 1.0.1. Các bản vá đã được phát hành kể từ phiên bản đó, và một công cụ quét miễn phí để xác định các ứng dụng bị ảnh hưởng có sẵn tại badhost.org.
Một mô hình, không phải một ngoại lệ
BadHost không xuất hiện một cách ngẫu nhiên. Việc tiết lộ này xảy ra giữa làn sóng ngày càng gia tăng các vấn đề bảo mật ảnh hưởng đến các khung công tác tác nhân AI trong năm 2025 và 2026, bao gồm các cuộc tấn công chèn prompt và lỗ hổng thực thi mã từ xa.
Một dự án có thể thậm chí không trực tiếp nhập Starlette nhưng vẫn dễ bị tổn thương vì một trong những phụ thuộc của nó làm như vậy.
Điều này có nghĩa gì đối với các nhà đầu tư
Hệ quả tức thì mang tính vận hành. Các đội ngũ vận hành các tác nhân AI hoặc hạ tầng phục vụ LLM cần kiểm tra cây phụ thuộc và cập nhật lên Starlette 1.0.1 trở lên. Mọi sự chậm trễ đều làm tăng nguy cơ bị khai thác, mà không cần xác thực hay đặc quyền đặc biệt để thực hiện.