Не так давно в мире open‑source и искусственного интеллекта обнаружили серьёзную уязвимость, о которой заговорили специалисты по безопасности. Она касается одного из базовых компонентов, который используют разработчики, чтобы строить серверные части приложений и AI‑агентов, — и из‑за этого под угрозой оказались миллионы сервисов и инструментов по всему миру.

Проблема касается фреймворка Starlette — лёгкой Python‑библиотеки, которую разработчики устанавливают десятки миллионов раз каждую неделю. Эта библиотека лежит в основе множества сервисов, включая популярный FastAPI, а также платформы вроде vLLM и LiteLLM, которые применяются для создания API, моделей и агентских систем.

Исследователи безопасности обнаружили, что в старых версиях Starlette (до 1.0.1) есть ошибка, получившая идентификатор CVE‑2026‑48710 и прозвище BadHost. Суть в том, что злоумышленник может обойти стандартные механизмы авторизации, подставив в HTTP‑заголовок Host всего один лишний символ. Это позволяет получить доступ к участкам серверного приложения, которые должны быть защищены.

На первый взгляд, это — техническая деталь реализации протокола, но в экосистеме AI это не просто баг в библиотеке. Многие серверные части AI‑агентов используют Starlette и FastAPI для маршрутизации запросов, управления моделями и подключения к внешним данным через так называемый Model Context Protocol (MCP) — стандарт, который позволяет агентам взаимодействовать с электронной почтой, календарями, базами и другими сервисами.

В результате уязвимость может коснуться не только самой библиотеки, но и всех сервисов, построенных на её основе: от внутренних инструментов компаний до облачных AI‑платформ. Некоторые из таких серверов хранят креденшиалы, API‑ключи и другую чувствительную информацию, что делает их привлекательной целью для атакующих.

По открытым данным, исходная версия Starlette с этой уязвимостью загружается сотни миллионов раз еженедельно. Хотя сама по себе библиотека не осуществляет аутентификацию, ошибка в обработке заголовков может обойти механизмы безопасности, если приложение напрямую доступно из интернета и не защищено дополнительными уровнями фильтрации.

Хорошая новость в том, что после обнаружения проблемы разработчики Starlette выпустили обновление — версию 1.0.1, которая устраняет BadHost. Тем не менее, в среде open‑source далеко не всегда все сервера вовремя переходят на свежие версии, и пока остаётся много инстансов с уязвимым кодом.

Что сейчас происходит

Исследовательские команды, участвовавшие в обнаружении уязвимости, опубликовали инструменты, которые помогают определить, какие серверы всё ещё уязвимы. Такие сканеры могут использоваться как для защиты (внутреннего аудита), так и злоумышленниками для поиска слабых мест.

При этом точное число реально уязвимых инстансов никто не знает: сами разработчики фреймворков и сервисов редко публикуют детали развертывания, и популярность open‑source означает, что множество приложений работают в самых разных средах — от личных проектов до корпоративных платформ.