世界中の数百万ものAIエージェントやツールが利用しているオープンソースフレームワーク「Starlette」には重大な脆弱(ぜいじゃく)性が存在すると、セキュリティ研究者のマルクス・ヴェルヴィエ氏が警告しています。

Millions of AI agents imperiled by critical vulnerability in open source package - Ars Technica

https://arstechnica.com/information-technology/2026/05/millions-of-ai-agents-imperiled-by-critical-vulnerability-in-open-source-package/



「Starlette」は週に3億2500万回以上ダウンロードされているオープンソースフレームワークで、多数のリクエストを効率的に同時処理できるASGI(非同期サーバーゲートウェイインターフェース)でもあります。StarletteはFastAPIをはじめとする、Pythonアプリケーションでサービスを構築するための広く使われているフレームワークの基盤となっており、他にも多くのフレームワークで利用されています。

StarletteはMCPを実行するサーバーにアクセス可能です。MCPは主要プロバイダーのAIエージェントがユーザーデータベース、電子メールやカレンダーアカウント、その他あらゆる種類のリソースを含む外部ソースにアクセスできるようにするというプロトコル。これらの外部システムに接続するために、MCPサーバーはそれぞれ認証情報を保存しています。そのため、攻撃者にとってMCPサーバーは攻撃の標的としては非常に価値の高いものというわけです。

今回Starletteで見つかった脆弱性の「CVE-2026-48710」(別名BadHost)は、悪用が非常に容易で、適切に設定されたファイアウォールの背後にないほとんどのシステムに対して有効です。FastAPI以外にも、vLLMやLiteLLMなど、広く使用されている他のパッケージも影響を受けます。なお、StarletteはBadHostに対応したバージョン1.0.1をリリース済みです。



BadHostを発見したセキュリティ企業X41 D-Secは、「HTTPのHostヘッダーに1文字挿入するだけで、FastAPIのルーティングコアであるStarletteのパスベースの認証を回避することができます」と言及。「FastAPIを介し、このプリミティブ(CVE-2026-48710)はvLLM(バグが発見された場所)やLiteLLM、Text Generation Inference、ほとんどのOpenAI-shimプロキシ、MCPサーバー、エージェント ハーネス、評価ダッシュボード、モデル管理UIなど、Python AIツールエコシステムの大部分に影響を与えます」と指摘しています。

BadHostの深刻度は10段階中7と評価されていますが、Secwestは「この評価はStarletteに依存する他のアプリを使用するユーザーへの脅威を著しく過小評価している」と言及。X41 D-SecもBadHostについて、「深刻度は極めて高い」と表現しました。

X41 D-SecはBadHostの影響を受ける可能性のあるサーバーを特定するオンラインスキャナーを公開しており、実際に以下のようなデータが窃取される可能性があると指摘しています。

・バイオ医薬品AI:臨床試験データベース、M&Aデータ、SSRF

・本人確認:顔分析、KYB、ライブPII、内部コードベース

・IoT/産業機器:踏み台(Bastion)経由でのデバイスへのSSH接続、リモートコード実行

・メール/SaaS:メールボックスの読み取り/送信/削除、S3へのエクスポート、Webhook

・人事/採用:候補者の個人情報、採用パイプラインデータ

・CMS/マーケティング:購読者リスト、一括メールキャンペーンの送信/スケジュール設定

・文書管理:スキャンした文書の閲覧、アップロード、変更

・クラウド監視:AWSトポロジー、分散トレース、メトリッククエリ

・サイバーセキュリティ:資産目録、ライブ核スキャナーアクセス

・個人の健康/財務データ:栄養記録、支出、購読情報



X41 D-SecはBadHostについて、「StarletteのルーティングアルゴリズムはHTTPパスに依存しますが、ミドルウェアやエンドポイントに提供されるrequest.url.path属性は再構築されたURLに基​​づいています。request.url.pathがHTTP経由で実際に要求されたパスと異なることは、ユーザーにとって予期せぬ事態です」と指摘しました。

脆弱なバージョンのStarletteが依然として本番システム上で広く使用されているため、Starletteに依存するアプリケーション(特にFastLLM、vLLM、LiteLLM)を使用しているユーザーの場合、少なくともシステム上でスキャナーを実行し、脆弱なコードがまだ使用されていないか検出する必要があります。