Az AI agenteknél a legdrágább „alkatrész” nem a modell, hanem a hozzáférés: adatbázisokhoz, e-mailhez, naptárhoz, külső szolgáltatásokhoz. Ha egy sebezhetőség ezt a kaput nyitja ki, az nem elméleti probléma, hanem azonnali üzemeltetési kockázat.

Mi történt

Egy kritikusnak minősített sérülékenység került elő a Starlette nevű, nyílt forráskódú Python webes keretrendszerben. A Starlette az ASGI (asynchronous server gateway interface) világában mozog: gondolj rá úgy, mint egy forgalomirányítóra, ami egyszerre sok párhuzamos kérést tud hatékonyan kezelni. Emiatt népszerű alapréteg sok modern Python szolgáltatás alatt.

A sebezhetőség (CVE-2026-48710, „BadHost”) lényege, hogy egyetlen karakter beszúrása a HTTP Host fejlécbe meg tudja kerülni a Starlette útvonal-alapú jogosultságkezelését. A Host fejléc az a mező, ami megmondja a szervernek, milyen „címre” érkezett a kérés; normál esetben ez ártalmatlan metaadat. Itt viszont úgy tűnik, hogy a routing (útvonalválasztás) és az engedélyezés egyes kombinációiban a manipulált Host érték kinyithat olyan útvonalakat is, amelyekhez nem kellene hozzáférni.

A hiba a Starlette 1.0.1 előtti verzióit érinti; a javítás már megjelent. Az érintett ökoszisztéma nagy, mert a Starlette a FastAPI alapja, és több, AI környezetben gyakran használt csomag is rá épít (például vLLM és LiteLLM). A sebezhetőség különösen veszélyes lehet az MCP (model context protocol) szervereknél: az MCP egy olyan „csatlakozó szabvány”, amin keresztül az AI agent külső erőforrásokat ér el (adatbázisok, levelezés, naptár, egyéb fiókok). Ezek a szerverek gyakran hitelesítő adatokat (credentialöket) tárolnak a külső rendszerekhez, így vonzó célpontok.

Miért fontos

Az ilyen hibák azért fájnak, mert nem egyetlen alkalmazást érintenek, hanem egy komplett építőkockát. Ha a Starlette a ház alapja, akkor a repedés nem csak a nappaliban jelenik meg: minden ráépített szolgáltatásnál újra vizsgálnod kell, hogy a jogosultságkezelésed mennyire támaszkodik útvonalakra, és mennyire véd a hálózati perem (tűzfal, fordított proxy, belső háló). Ráadásul az AI agentes rendszereknél a „zsákmány” gyakran nem csak adat, hanem kulcsok és tokenek, amikkel további fiókokhoz lehet hozzáférni.

Mire figyelj

  1. Verzió és függőségek: ellenőrizd, fut-e Starlette 1.0.1 előtti verzió bármely szolgáltatásodban, közvetlenül vagy transzitív függőségként (FastAPI/vLLM/LiteLLM és társai alatt is).
  2. Kitettség a net felé: a hiba „triviálisan” kihasználhatónak tűnik, főleg ott, ahol nincs rendesen konfigurált tűzfal vagy a szolgáltatás közvetlenül elérhető az internetről.
  3. MCP és titkok kezelése: ha MCP szervert vagy agent „harness”-t üzemeltetsz, nézd át, hol és hogyan tárolod a külső rendszerekhez tartozó credentialöket (rotáció, minimális jogosultság, elkülönítés), mert ezek a legértékesebb célpontok.
  4. Értékelés a súlyosságról: a CVSS 7/10 közepesen magasnak hangzik, de a gyakorlati kockázatot az adja, mennyire sok helyen van kint a komponens és milyen adatokhoz fér hozzá. Ars Technica AI is azt hangsúlyozza, hogy az ökoszisztéma-kitettség miatt a valós veszély sok környezetben nagyobb lehet, mint amit egyetlen szám sugall.

Ha AI agenteket vagy Python-alapú AI szolgáltatásokat futtatsz, ezt most érdemes „infrastruktúra-higiéniai” feladatként kezelni: gyors frissítés, kitettség csökkentése, és a hozzáférési titkok újragondolása.