Миллионы ИИ-серверов под угрозой: хакеры могут похищать почту, базы данных и документы
Критическая уязвимость в популярном открытом фреймворке Starlette поставила под угрозу миллионы ИИ-серверов по всему миру. Из-за ошибки BadHost киберпреступники могут легко обходить защиту и похищать конфиденциальные данные пользователей.
Об этом информирует РБК-Украина со ссылкой на издание Ars Technica.
Масштаб проблемы
Уязвимость нашли в бесплатном фреймворке Starlette, который разработчики загружают более 325 миллионов раз в неделю. Система помогает программам на Python обрабатывать большое количество запросов одновременно и является основой для популярного инструмента FastAPI.
Из-заStarlette под угрозой оказались тысячи других открытых проектов. Ошибка получила официальный код CVE-2026-48710 и название BadHost. Эксперты оценивают ее опасность в 7 из 10 баллов, однако отмечают, что реальная угроза является критической.
Ошибка открывает доступ к серверам MCP (Model Context Protocol). Через них ИИ получает доступ к внешним источникам:
- базам данных пользователей;
- электронной почте;
- рабочим календарям.
Поскольку серверы MCP хранят пароли для подключения к этим сервисам, они стали главной целью для хакеров. Уязвимость задела пакеты для работы с ИИ - vLLM, LiteLLM и Text Generation Inference.
Какие данные могут похитить хакеры?
Исследователи из компаний по безопасности X41 D-Sec и Secwest выяснили, что из-за ошибки BadHost в открытом доступе уже оказались важные данные многих компаний. Среди них:
Медицина и финансы: базы данных клинических испытаний лекарств, личные медицинские карты, дневники питания и отчеты о расходах.
Персональные данные: информация для верификации лиц, сканированные документы, базы кандидатов на работу и списки подписчиков для маркетинга.
Доступ к почте: полная возможность читать, отправлять и удалять электронные письма в чужих почтовых ящиках.
Управление устройствами: удаленный запуск стороннего кода и доступ к индустриальным IoT-устройствам.
Как работает ошибка
Суть проблемы заключается в том, что Starlette неправильно обрабатывает HTTP-заголовки Host и не проверяет их значения. Хакерам достаточно вставить всего один лишний символ в заголовок, чтобы система полностью одобрила запрос на вход без проверки настоящего пароля.
Такой баг позволяет обходить защиту большинства систем, которые не спрятаны за правильно настроенным брандмауэром.
Как защититься?
Разработчики уже выпустили обновление безопасности - версию Starlette 1.0.1, где эту проблему устранили. Пользователям приложений vLLM, LiteLLM и FastAPI рекомендуют срочно обновить кодовую базу.
Также компании X41 D-Sec и Nemesis запустили бесплатный онлайн-сканер, который помогает проверить, остается ли конкретный сервер уязвимым к взлому.