Hàng triệu tác nhân AI bị đe dọa bởi lỗ hổng nghiêm trọng trong gói mã nguồn mở

Hàng triệu tác nhân và công cụ AI trên khắp thế giới đang bị đe dọa bởi một lỗ hổng nghiêm trọng, có thể cho phép tin tặc xâm nhập các máy chủ đang vận hành chúng và đánh cắp dữ liệu nhạy cảm cùng thông tin đăng nhập vào các tài khoản bên thứ ba. Đây là cảnh báo từ một nhà nghiên cứu bảo mật. Lỗ hổng này tồn tại trong Starlette, một framework mã nguồn mở mà nhà phát triển cho biết có 325 triệu lượt tải xuống mỗi tuần. Hàng nghìn dự án mã nguồn mở khác cũng dễ bị tấn công vì chúng yêu cầu Starlette để hoạt động. Framework này là một triển khai của ASGI (giao diện cổng máy chủ không đồng bộ), cho phép xử lý hiệu quả một số lượng lớn yêu cầu cùng lúc. Starlette là nền tảng của FastAPI và các framework được sử dụng rộng rãi khác để xây dựng dịch vụ trong các ứng dụng Python, cũng như nhiều ứng dụng khác. Dễ dàng khai thác, hàng triệu máy chủ bị phơi nhiễm ASGI, và do đó Starlette, có quyền truy cập vào các máy chủ đang chạy MCP (giao thức ngữ cảnh mô hình), cho phép các tác nhân AI từ các nhà cung cấp lớn truy cập các nguồn bên ngoài, bao gồm cơ sở dữ liệu người dùng, tài khoản email và lịch, cùng tất cả các loại tài nguyên khác. Để kết nối với các hệ thống bên ngoài này, các máy chủ MCP lưu trữ thông tin đăng nhập cho từng hệ thống, khiến chúng trở thành kho lưu trữ đặc biệt có giá trị để kẻ tấn công xâm nhập. Đọc toàn bộ bài viết Bình luận