BadHost漏洞可攻破AI服务器

2026年5月27日，安全研究机构公开披露了一枚编号为CVE-2026-48710的高危漏洞（代号“BadHost”），直接威胁全球范围内基于Starlette框架构建的AI应用基础设施。该漏洞允许攻击者通过精心构造的HTTP Host头注入，绕过认证中间件，未经授权访问受保护的API端点。由于Starlette是FastAPI等现代AI服务架构的核心依赖组件，该漏洞被视为当前AI安全生态中最为严重的供应链风险之一。

漏洞根源：Host头注入导致认证绕过

根据X41 D-Sec团队在OSTIF赞助审计中的发现，BadHost的根因在于Starlette在构建请求URL时对HTTP Host头缺乏充分的规范化处理。当攻击者发送类似GET /protected的请求，并将Host头篡改为example.com/health?x=时，应用程序会将此请求错误地视为对/health而非/protected的访问。任何依赖request.url.path进行访问控制决策的中间件——包括认证、白名单、速率限制和CSRF保护机制——都会因此被绕过。

该缺陷跨越多个抽象层：ASGI服务器、Starlette本身的URL处理逻辑以及开发者编写的自定义中间件，使得传统自动化扫描工具难以准确检测。攻击者无需特殊权限，只需一次HTTP请求即可实施攻击。

AI基础设施全面暴露：从MCP网关到LLM推理服务器

BadHost对AI生态系统的威胁尤为严峻，因为当前绝大多数AI服务栈采用了FastAPI与Starlette作为底层框架。直接暴露在风险中的平台包括：vLLM与LiteLLM推理代理服务器、AI智能体编排后端、MCP（Model Context Protocol）服务器与网关，以及Ray Serve、BentoML、Google ADK-Python等工具。其中MCP服务器因默认暴露未经认证的OAuth发现端点，成为攻击者最易利用的突破口。

成功利用BadHost后，攻击者可执行下列操作：访问受限的LLM端点、窃取API密钥与凭证、操纵内部智能体工具接口，以及未经授权滥用AI计算资源。据安全研究团队评估，目前全球数千个AI应用中招风险极高，且漏洞利用代码已在攻击者社区流传。

紧急修复路径与防御建议

安全研究员敦促所有受影响组织立即采取多项措施：首先将Starlette升级至1.0.1或更高版本，该版本已经修正了Host头的不安全处理；其次，开发者应立即停止在安全判断中使用request.url.path，转而采用FastAPI内置的Depends()或Security()等更健壮机制进行鉴权；第三，在ASGI服务器前部署Nginx、Caddy或HAProxy反向代理，由其负责Host头的校验与标准化；第四，若中间件仍需检查路径，应使用scope["path"]替代request.url.path。安全团队还可借助Nemesis自动化平台等专用工具，扫描AI基础设施中是否存在脆弱模式与暴露端点。

随着AI采用速度不断加快，BadHost揭示了互联框架中安全复杂性的急剧增长。本次事件再次警示行业：对中间件逻辑的彻底审查、严格的输入验证以及及时的基础设施补丁管理，已不再是可选项，而是AI时代安全运营的生存基线。