Новости ИИ

Уязвимость BadHost в Starlette угрожает тысячам AI-приложений

Нейроредакция

27 мая 2026 — 1 min read

Обнаружена серьезная уязвимость под названием "BadHost" (CVE-2026-48710), представляющая риск для AI-приложений на Python. Проблема затрагивает популярный фреймворк Starlette, который используется в тысячах проектов и насчитывает 325 миллионов скачиваний еженедельно.

Хотя уязвимость официально получила рейтинг 7/10, эксперты считают ее критической. "BadHost" влияет на множество инструментов, включая FastAPI, vLLM, LiteLLM, Text Generation Inference, прокси OpenAI, MCP-серверы, agent harnesses, evaluation dashboards и UI для управления моделями.

Что такое "badhost"

Уязвимость "BadHost" основана на внедрении одного символа в HTTP-заголовок Host. Это позволяет обойти механизмы авторизации по пути. Проблема заключается в том, что Starlette некорректно обрабатывает `request.url.path`, из-за чего данные расходятся с реальным HTTP-запросом. Это может привести к тому, что системы авторизации пропустят неавторизованных пользователей.

Эксплуатация уязвимости чревата серьезными последствиями. Возможен обход авторизации, риск Server-Side Request Forgery (SSRF), а в некоторых случаях — Remote Code Execution (RCE). Если уязвимость затрагивает MCP-серверы, атакующий может получить доступ к конфиденциальным данным, таким как учетные данные баз данных, электронной почты или календарей.

Как защититься

Для устранения "BadHost" необходимо обновить Starlette до версии 1.0.1 или новее. Компании X41 D-Sec и Nemesis разработали инструмент для диагностики уязвимости, доступный на mcp-scan.nemesis.services. Сканер поможет разработчикам выявить уязвимые инсталляции.

Это обновление критически важно для защиты AI-приложений на Python, особенно тех, что работают с внешними данными. Разработчикам стоит выполнить ряд действий: провести аудит систем с FastAPI, vLLM или LiteLLM, развернуть предложенный сканер безопасности и проверить конфигурацию файрволов, так как неправильные настройки могут усугубить уязвимость.

Ранее по теме
AI ускоряет проектирование авто и заменяет тесты

Больше новостей в нашем Телеграм. Подпишись!

Ссылка на источник тык.

Разработчик работает за компьютером, на экране код и символы ИИ. Графики показывают снижение продуктивности и рост техдолга из-за ИИ.

ИИ-помощники снизили производительность разработчиков и увеличили долги

Зависимость от ИИ-помощников стала нормой: многие разработчики уже не готовы писать код без поддержки нейросетей. Это меняет стандартные рабочие процессы в IT. Исследования 2025 года показали: ожидания от ИИ часто разбиваются о реальность. Вместо обещанного ускорения задачи стали занимать больше времени из-за отладки, настройки и ожидания ответов нейросетей. К февралю

Логотип OpenAI и схема Frontier Governance Framework (FGF) для безопасной разработки ИИ.

OpenAI представила готовый стандарт безопасности ИИ-разработок

OpenAI представляет Frontier Governance Framework (FGF) — готовую инструкцию по безопасной разработке ИИ. Этот фреймворк помогает избежать серьезных рисков при масштабировании. FGF соответствует требованиям регуляторов, таким как EU General-Purpose AI Code of Practice и California’s Transparency in Frontier AI Act (TFAIA). Используйте этот документ как шаблон для своих систем: он

ИИ-агент Devin от Cognition, пишущий код. Инвестиции $1 млрд, оценка $26 млрд. Автоматизация разработки ПО.

Cognition привлек $1 млрд при оценке $26 млрд

Стартап Cognition привлек $1 миллиард инвестиций серии D, увеличив свою оценку до $26 миллиардов. Компания разрабатывает ИИ-агентов для написания кода, и инвесторы делают на них большую ставку. Как работает cognition ИИ-агент Devin берет на себя 89% задач по написанию кода, подтверждая свою эффективность. Остальную работу выполняют другие агенты на платформе

Робот-пылесос с камерой, работающий в помещении, обучается на видео с платформы Shift App от MicroAGI.

MicroAGI платит операторам $20 в час за обучение роботов

Компания MicroAGI ускоряет разработку искусственного интеллекта в робототехнике. Они собирают видео в высоком качестве — это данные для обучения роботов. Бизнес-модель основана на платформе Shift app, где люди записывают свои действия за вознаграждение. Компания работает в 50 странах. Собраны десятки тысяч участников. В Нью-Йорке MicroAGI проводит акцию: предлагают бесплатную уборку. Уборщики