在最廣泛使用的 Python 網頁框架中發現了一個嚴重的安全漏洞,使數百萬個 AI 代理、機器學習工具和生產服務易受未經認證的攻擊者入侵。此漏洞編號為 CVE-2026-48710,綽號為 “BadHost”,影響了 Starlette 這個開源框架,該框架每周下載量達 3.25 億次。
這不是打字錯誤。325 億。每週。由於 Starlette 是 FastAPI 及龐大 Python 異步專案生態的基礎,其影響範圍遠超單一函式庫。
BadHost 究竟做什麼
Starlette 透過取用 HTTP Host 標頭(攻擊者可自由操控)並與請求路徑串接,再重新解析結果來重建請求的 URL。該框架從未先驗證 Host 標頭。
透過在 Host 標頭中注入 /、? 或 # 等特定字元,攻擊者可改變重構 URL 中路徑邊界的定位,從而繞過任何依賴路徑基礎驗證檢查的中間件。無需憑證,無需複雜的攻擊鏈,僅需一個精心構造的 HTTP 標頭。
結果是受影響應用程式出現完整的身份驗證繞過。利用 BadHost 的攻擊者可存取受保護的端點、取得敏感資料,並可能竊取與易受攻擊應用程式連接的第三方服務的憑證。
AI 基礎設施問題
令人特別擔憂的是,眾多依賴 Starlette 的下游專案。FastAPI 是建構 Python 網路服務最流行的框架之一,其運行於 Starlette 之上。vLLM 和 LiteLLM 這兩個廣泛用於生產環境中部署大型語言模型的框架,同樣依賴它。此外,作為 AI 代理工具基礎設施的 MCP 伺服器(Model Context Protocol)也受到影響。數以千計的開源專案都需要 Starlette 才能運作,形成了一張龐大的傳遞性依賴網絡,單一漏洞便會向外擴散。
該漏洞影響所有早於 1.0.1 的 Starlette 版本。從該版本開始已發布修補程式,並可在 badhost.org 免費獲取用於識別受影響應用程式的掃描工具。
一種模式,而非異常
BadHost 的出現並非偶然。此披露正值 2025 年和 2026 年間,AI 代理框架持續遭遇安全問題的浪潮,包括提示注入攻擊和遠端程式碼執行漏洞。
一個項目可能甚至沒有直接導入 Starlette,但仍可能因為其依賴的某個元件而存在漏洞。
這對投資者意味著什麼
立即的影響在於運營方面。運行 AI 代理或 LLM 服務基礎設施的團隊需要檢查其依賴關係樹,並更新至 Starlette 1.0.1 或更高版本。任何延遲都會增加遭受無需認證或特殊存取權限即可執行的攻擊的風險。