آسیب‌پذیری بحرانی BadHost؛ میلیون‌ها ایجنت هوش مصنوعی در خطر هک

آسیب‌پذیری بحرانی BadHost در فریم‌ورک متن‌باز استارلت، میلیون‌ها ایجنت هوش مصنوعی را در معرض سرقت اطلاعات و دسترسی غیرمجاز هکرها قرار داده است. این نقص امنیتی به هکرها اجازه می‌دهد تا به سرورهای اجرای این ابزارها نفوذ کرده و داده‌های حساس را سرقت کنند.

یک پژوهشگر امنیتی هشدار داده که میلیون‌ها ابزار و ایجنت هوش مصنوعی در سرتاسر جهان به دلیل این آسیب‌پذیری بحرانی، در معرض خطر قرار گرفته‌اند. این نقص به هکرها اجازه می‌دهد تا به سرورهای اجرای این ابزارها نفوذ کرده و اطلاعات کاربری حساب‌های شخص ثالث را به سرقت ببرند. آسیب‌پذیری مذکور برای فریم‌ورک متن‌باز استارلت (Starlette) گزارش شده و طبق گفته توسعه‌دهنده آن، این فریم‌ورک هفته‌ای 325 میلیون بار دانلود می‌شود. با توجه به این موقعیت، هزاران پروژه متن‌باز دیگر نیز به دلیل وابستگی به استارلت در خطر هستند.

فریم‌ورک استارلت قابلیت پردازش همزمان و کارآمد تعداد زیادی درخواست را فراهم می‌کند. توضیحات گزارش نشان می‌دهد که استارلت به سرورهایی که پروتکل کانتکست مدل (MCP) را اجرا می‌کنند، دسترسی دارد. این پروتکل که توسط ارائه‌دهندگان بزرگ طراحی شده، به ایجنت‌های هوش مصنوعی اجازه می‌دهد تا به منابع خارجی مانند پایگاه‌های داده کاربران، حساب‌های ایمیل و تقویم‌ها متصل شوند. سرورهای MCP برای برقراری ارتباط با این سیستم‌های خارجی، اعتبارنامه‌های مرتبط با هر یک از این منابع را ذخیره می‌کنند، که این مسئله آنها را به اهداف ارزشمندی برای نفوذ مهاجمان تبدیل می‌کند.

این آسیب‌پذیری که با شناسه CVE-2026-48710 و نام BadHost شناسایی می‌شود، به راحتی قابل سوءاستفاده است و بر روی بیشتر سیستم‌هایی که پشت یک فایروال با پیکربندی مناسب قرار ندارند، مؤثر است. علاوه‌بر FastAPI، پکیج‌های پرکاربرد دیگری از جمله vLLM و LiteLLM نیز تحت تأثیر این آسیب‌پذیری قرار گرفته‌اند. این آسیب‌پذیری نسخه‌های پیش از 1.0.1 استارلت که روز جمعه منتشر شده بود را نیز در بر می‌گیرد.

پژوهشگران شرکت امنیتی Secwest در این باره نوشته‌اند: «این نقص امنیتی از طریق FastAPI به بخش بزرگی از اکوسیستم ابزارهای هوش مصنوعی پایتون، از جمله vLLM، LiteLLM، استنتاج تولید متن، اکثر پروکسی‌های واسط OpenAI، سرورهای MCP، مهارکننده‌های ایجنت، داشبوردهای ارزیابی و رابط‌های کاربری مدیریت مدل راه پیدا می‌کند.» مشکل اصلی این آسیب‌پذیری این است که استارلت مقادیر نامعتبر هدر میزبان را دریافت می‌کند، به همین دلیل برنامه‌های احراز استارلت درخواست‌های دسترسی غیرمجاز را تأیید می‌کنند.

آسیب‌پذیری BadHost امتیاز 7 از 10 را از نظر شدت وخامت کسب کرده است. با این حال، Secwest اعلام کرده که این دسته‌بندی ممکن است تهدیدی که برای کاربران برنامه‌های وابسته به استارلت وجود دارد را کم‌اهمیت جلوه دهد. شرکت امنیتی X41 D-Sec که این نقص را شناسایی کرده، شدت آن را «بحرانی» توصیف کرده است.