Уязвимость BadHost поставила под угрозу миллионы ИИ-агентов и серверов — эксперты
- Исследователи обнаружили критическую уязвимость в популярном Python-фреймворке Starlette.
- Проблема затрагивает FastAPI, vLLM, LiteLLM и серверы MCP для ИИ-агентов.
- Эксперты предупредили о риске кражи учетных данных, SSRF-атак и удаленного выполнения кода.
Исследователи в области кибербезопасности предупредили о критической уязвимости BadHost, которая затрагивает миллионы серверов и ИИ-инструментов по всему миру.
Проблема была обнаружена в Starlette — популярном Python-фреймворке с открытым исходным кодом. Он, по данным разработчиков, загружается около 325 млн раз в неделю.
Уязвимость получила идентификатор CVE-2026-48710 и затрагивает версии Starlette до 1.0.1.
Руководство по ИИ-агентам: как устроены, для чего используются и зачем им блокчейн 03.02.2025 ЧитатьПо данным исследователей Secwest и X41 D-Sec, ошибка позволяет злоумышленникам обходить механизмы авторизации и проводить SSRF-атаки. В некоторых случаях они также они могут выполнять произвольный код на сервере.
Что под угрозой?
Эксперты отметили, что Starlette используется в качестве основы для FastAPI и других популярных инструментов разработки ИИ-сервисов.
Среди затронутых решений называются vLLM, LiteLLM, Text Generation Inference и OpenAI-прокси. Так уязвимость затрагивает платформы и серверы MCP, через которые ИИ-агенты получают доступ к внешним сервисам и базам данных.
Исследователи предупреждают, что такие системы нередко хранят:
- SSH-ключи;
- учетные данные AWS;
- данные электронной почты;
- календари;
- внутренние документы и другую чувствительную информацию.
По словам специалистов, уязвимость связана с некорректной обработкой HTTP-заголовка Host в Starlette. Это позволяет внедрять дополнительные пути в запросы и обходить проверки авторизации.
В компании
Читать на incrypted.comОб этом же в других СМИ
FalconX подала конфиденциальную заявку на IPO в США — СМИ incrypted.com / 5 дней назад
Уязвимость CDN скрывает вредоносный трафик за доверенными доменами habr.com / 1 неделю назад
Эксперты сообщили о вредоносной кампании TrapDoor против разработчиков Sui и Solana incrypted.com / 1 неделю назад
Показать ещё
Сайт vsenovosti.life - агрегатор новостей из открытых источников. Источник указан в начале и в конце анонса. Вы можете пожаловаться на новость, если находите её недостоверной.
04.06 / 07:53
Sony
самит
звезда
мода и стиль
Шоу бизнес
Станет ли Vivo X500 Pro Max следующим прорывом с 2-нм чипсетом и передовыми камерами?
Пока конкуренты пытаются выжать максимум из прошлогодних решений, флагман Vivo, похоже, решил просто завалить рынок цифрами. Новые утечки о будущем устройстве X500 Pro Max говорят о том, что компания не собирается останавливаться в своей любви к огромным сенсорам и заоблачному разрешению. Инженерные образцы уже тестируются, а характеристики выглядят так, будто их писали для научно-фантастического романа, а не для спецификации смартфона.
04.06 / 07:53
продукты
технологии
экономика
самит
интересное
Бюджетная битва: AnTuTu назвал самые выгодные смартфоны за 6500 гривен
Пока флагманы соревнуются в количестве терафлопсов и «умности» искусственного интеллекта, настоящая борьба за выживание продолжается в бюджетном секторе. Команда AnTuTu обновила свой рейтинг устройств в ценовой категории до 999 юаней — это примерно 150$ (6500 грн). Этот перечень интересен тем, что он игнорирует маркетинговый шум и опирается на сухую математику: соотношение среднего балла в тестах к актуальной цене на торговых площадках.
04.06 / 07:44
связь
наука
буря
интересное
В NASA подтвердили «гибель» марсианского зонда, проработавшего целых 11 лет
«После 11 лет изучения Марса космический аппарат MAVEN NASA официально вышел из строя», — так пишут в Live Science, ссылаясь на заявление ведомства. И продолжают: причина — разряжение аккумулятора, «вызванное пока неизвестной аномалией».
04.06 / 07:35
связь
технологии
общество
бюджет
доллар
Новое ухо для Вселенной: Прототип ngVLA прошел испытание «первым светом»
Радиоастрономический комплекс Very Large Array (VLA) в Нью-Мексико — это значительно больше, чем просто декорации для голливудской классики вроде «Контакта». Это рабочая лошадка современной астрофизики, которая годами помогала ученым заглядывать в тайны космоса. Однако время неумолимо, и технологии 1970-х годов требуют радикального обновления. Проект ngVLA (next-generation Very Large Array) — это попытка вывести радиоастрономию на новый уровень, и недавно он преодолел важный этап: первая прототипная антенна успешно «увидела» космос.
04.06 / 07:23
Компьютеры
смартфоны
аксессуары
Транспорт
Acer представила ноутбуки на Snapdragon
На выставке Computex 2026 компания Acer представила сразу две модели ноутбуков на Snapdragon — флагманский трансформер Swift Spin 14 AI и более доступный Aspire Go 15.
04.06 / 07:09
Nvidia
планшеты
FLEX
Microsoft готовит новый Surface Pro 13: OLED-дисплей, Snapdragon X2 Elite и упор на ИИ
По данным инсайдеров, Microsoft уже готовит новый Surface Laptop Ultra с чипом Nvidia RTX Spark. Но параллельно в разработке находятся и модели на базе Snapdragon — и одна из них может стать заметным обновлением
04.06 / 07:01
криптовалюта
инвестор
BTC
ETF
Курс bitcoin
Рынок биткоина переживает «массовую смену владельцев» — CEO CryptoQuant
Генеральный директор CryptoQuant Ки Янг Джу заявил, что текущая фаза рынка биткоина напоминает «массовую смену владельцев» актива. По его словам, несмотря на рекордный спрос со стороны институциональных инвесторов и ETF, цена первой криптовалюты вернулась к уровням, на которых торговалась более года назад, что может свидетельствовать о чрезвычайно сильном давлении продавцов. Эксперт привел несколько показательных цифр. С начала 2023 года компания Strategy приобрела 711 206 BTC и продала лишь 32 BTC. В то же время с марта 2024 года спотовые биткоин-ETF аккумулировали 509 102 BTC, а Strategy за этот же период приобрела еще 650 706 BTC. Биткоин и Ethereum закрыли май «в минусе» на фоне оттока п
04.06 / 06:52
экономика
общество
финансирование
капитал
инвестор
Google привлечет $85 млрд для ИИ после рекордного раунда Anthropic
Компания Alphabet (Google) объявила о планах привлечь около $80 млрд через несколько программ размещения акций для финансирования развития инфраструктуры искусственного интеллекта. Важной частью сделки станет частное размещение акций на $10 млрд для Berkshire Hathaway, что свидетельствует о растущей уверенности инвесторов в долгосрочном потенциале ИИ-направления Google. В целом Alphabet планирует привлечь: $30 млрд через публичное размещение акций и конвертируемых привилегированных бумаг; до $40 млрд через программу постепенной продажи акций на рынке (ATM); еще $10 млрд инвестирует Berkshire Hathaway.
04.06 / 06:52
общество
самит
Блокчейн
CEO
Ledger обнаружила уязвимость в чипе кошелька Trezor Safe 7
Группа исследователей кибербезопасности Donjon в составе компании Ledger опубликовала отчет об обнаруженной уязвимости в чипе TROPIC01, который используется в аппаратных кошельках Trezor Safe 7. В Trezor подчеркнули, что средства пользователей в полной безопасности. Что это за чип и в чем кроется уязвимость? TROPIC01 — это устойчивый к взлому аппаратный микрочип (secure element), предназначенный для хранения чувствительной информации. Его производит компания Tropic Square. Отличительной особенностью чипа является то, что его исходный код находится в открытом доступе. Эксперты Donjon в своем исследовании использовали метод Laser Fault Injection (LFI) для обхода проверки подписи на базе алгоритма Ed25519. В о
04.06 / 06:52
деньги
политика
ликвидация
капитал
инвестор
Биткоин рухнул ниже $62 000, Ethereum — $1800
В ночь на 4 июня 2026 года крипторынок отметился повторной просадкой. Биткоин в моменте опустился до $61 383, Ethereum — $1717, согласно TradingView. Биткоин на момент написания торгуется чуть выше $64 300. Это уровень начала февраля 2026 года, когда актив за две недели опустился с $96 000 до $64 000 и даже ниже. Капитализация актива в моменте опустилась до $1,24 трлн, согласно TradingView. На недельном чарте просадка составляет 13,5%. В глобальном рейтинге активов и компаний биткоин находится на 14 месте, по данным Companies Market Cap.
