Sikkerhet

Kritisk sikkerhetshull truer millioner av AI-agenter: Én ødelagt header gir full tilgang

En alvorlig sårbarhet i det populære Python-rammeverket Starlette lar angripere omgå autentisering og få uautorisert tilgang til millioner av AI-applikasjoner – uten brukernavn eller passord.

24AI System

27. mai 2026·4 min lesetid

Kritisk sikkerhetshull truer millioner av AI-agenter: Én ødelagt header gir full tilgang

Bak saken ⚡ (AI-Telemetri)Klikk for å åpne

Her kan du se hvordan seks navngitte AI-agenter i 24AI-flowen hentet, verifiserte, skrev, kvalitetssjekket og visualiserte denne saken. Agentene er systemroller, ikke mennesker, journalister eller ansvarlige redaktører.

Sigrid ⚖️(Publiseringsagent)

Fanget opp saken fra RSS-feed «Ars Technica AI» og sendte den videre i 24AI-flowen basert på nyhetsverdi og relevans.

Spør Sigrid om inntaket →

Eskil 🔍(Research-agent)

Gjennomførte Google-søk og verifiserte opplysningene mot 10 uavhengige kilder.

Se research med Eskil →

Ingrid ✍️(Skriveagent)

Formulerte artikkelen i tabloid stil, utarbeidet TL;DR og la til strukturerende sitater.

Diskuter vinkling med Ingrid →

Torbjørn ⚖️(Review-agent)

Kvalitetsscore:91 / 100

“Artikkelen er svært informativ og godt strukturert, med en klar forklaring av en kritisk sårbarhet og dens spesifikke relevans for AI-agenter. Språket er utmerket, og kildene er stort sett troverdige, inkludert en primærkilde for sårbarheten. Den gir god innsikt og er svært relevant for målgruppen.”

Utfordre Torbjørns review →

Vidar 📷(Bildeagent)

Genererte sakens hovedbilde og sideillustrasjoner.

Prompt: Hero — A software developer's open-plan workspace photographed from a low angle looking across a desk, showing a closed laptop and a physical ethernet cable plugged into a small network switch on the desk surface. The workspace is minimal and slightly cluttered with a coffee cup and printed code documentation nearby. Natural bright Nordic daylight streams in from a large window to the left, creating clean white-blue diffused light with subtle shadows. Shot with a wide-angle smartphone lens, handheld, with mild sensor grain and slight framing asymmetry. The mood is calm and documentary — a real office environment, not staged. Bright Nordic daylight color temperature, airy and clear. No screens showing content, no text visible, no signs.

Snakk om estetikk med Vidar →

Nora ⚡(Distribusjonsagent)

Utarbeidet scroll-stoppende delingstekster til Bluesky, X og Facebook, og klargjorde dem for publisering.

Få delingstips fra Nora →

TL;DR

Sårbarheten «BadHost» (CVE-2026-48710) i Python-rammeverket Starlette gjør det mulig å omgå autentisering med én manipulert HTTP-header
Starlette lastes ned 325 millioner ganger per uke og ligger til grunn for FastAPI, vLLM, LiteLLM og MCP-servere brukt av AI-agenter
Sikkerhetsfirmaet X41 D-Sec har allerede avdekket live-eksponering av kliniske databaser, HR-systemer og e-postarkiver
Oppdatert versjon (1.0.1) er tilgjengelig, og gratis skanneverktøy finnes på badhost.org

❖ KVALITETSSTATUS

Publisert:	27. mai 2026
Kategori:	Sikkerhet
Kilder:	10 kildehenvisninger
Produksjon:	AI-generert
Automatisk review:	91/100
Menneskelig gjennomgang:	Nei, ikke standard

!Hero image

Et enkelt, feilformatert HTTP-felt er alt som skal til for å bryte seg inn i tusenvis av Python-drevne AI-applikasjoner – uten legitimasjon, uten spor og uten varsler. Det er kjernen i sikkerhetssårbarheten som forskere fra X41 D-Sec offentliggjorde 22. mai 2026, og som nå sender sjokkbølger gjennom AI-sikkerhetsfeltet.

Hva er BadHost?

Sårbarheten, offisielt sporet som CVE-2026-48710 og kalt «BadHost», ble avdekket av X41 D-Sec under en revisjon finansiert av Open Source Technology Improvement Fund (OSTIF). Uavhengige sikkerhetsrapportører ehhthing og Nicolas Lamoureux bidro også til funnet, ifølge de koordinerte rådene som ble publisert 22. mai.

Sårbarheten befinner seg i Starlette, et ASGI-basert webrammeverk for Python som utgjør selve grunnmuren i en rekke moderne AI-infrastrukturer. FastAPI, vLLM, LiteLLM og Model Context Protocol-servere (MCP) er alle bygget på Starlette.

Kritisk sikkerhetshull truer millioner av AI-agenter: Én ødelagt header gir full tilgang - Bilde 1

Slik fungerer angrepet

Når en nettleser sender en forespørsel til en webserver, inkluderes en Host-header som forteller serveren hvilket domene forespørselen er ment for. Starlette bruker denne headeren til å rekonstruere den fullstendige URL-en for videre behandling.

Problemet er at sårbare versjoner av Starlette ikke validerte innholdet i Host-headeren. En angriper kan derfor sende en manipulert header – for eksempel Host: example.com/health?x= – som får Starlette til å bygge opp en forvrengt URL. Ruteren sender forespørselen dit den faktisk er adressert (f.eks. /admin), men autentiseringsmiddleware som leser request.url.path ser en annen sti (f.eks. /health) og lar forespørselen passere som om den gjelder et offentlig endepunkt.

Resultatet: angriperen får tilgang til beskyttede ressurser uten gyldige påloggingsopplysninger. Angrepet fungerer mot både tillists- og denylists-baserte autentiseringsmønstre, og krever kun en rå TCP-tilkobling siden standard HTTP-klienter normaliserer Host-headeren automatisk.

Én enkelt, feilformatert HTTP-header gir angriperen nøklene til systemet – uten ett eneste brukernavn.

Særlig farlig for AI-agenter og MCP-servere

!Body image

Det som gjør BadHost spesielt bekymringsfullt i 2026, er den eksplosjonsartede veksten i AI-agenter og MCP-servere. MCP-servere fungerer som bindeleddet mellom en AI-agent og de eksterne ressursene den opererer mot – e-post, kalendere, databaser, skytjenester. Disse serverne lagrer legitimasjon for en rekke kontoer agenten er autorisert til å bruke.

Ifølge X41 D-Sec kan et vellykket angrep mot en MCP-server gi tilgang til «nøklene til alt agenten var betrodd å bruke». Aktive skanninger gjennomført av forskerne har allerede avdekket eksponering av kliniske prøvedatabaser, identitetssystemer med personopplysninger, fullstendige e-postarkiver, HR-systemer med søknadsprosesser og markedsføringsplattformer med kapasitet til masseutsendelse.

For AI-agenter brukt innen kryptovaluta og desentralisert finans (DeFi) – herunder handlebotter og porteføljeforvaltere – åpner sårbarheten også for såkalt «memory poisoning», der en angriper korrumperer datagrunnlaget agenten bruker til beslutninger. Dette kan i ytterste konsekvens føre til uautoriserte transaksjoner.

Sikkerhetsfirmaet Secwest advarer om at den offisielle risikovurderingen på 7 av 10 «i betydelig grad undervurderer trusselen» mot applikasjoner som er avhengige av Starlette.

Alvorlighetsgraden er omstridt – og sannsynligvis undervurdert

X41 D-Sec beskriver BadHost som «kritisk» og av «ekstremt høy alvorlighetsgrad». Et separat scoringssystem ga imidlertid sårbarheten 7 av 10, noe sikkerhetsfirmaet Secwest er uenig i – de mener dette «i betydelig grad undervurderer trusselen mot brukere av applikasjoner som er avhengige av Starlette», ifølge Ars Technica.

Den store usikkerhetsfaktoren er det faktiske omfanget av berørte systemer. Med 325 millioner ukentlige nedlastinger og over 400 000 avhengige GitHub-repoer er Starlette en av de mest utbredte komponentene i moderne Python-infrastruktur. Mange av disse systemene kjører i praksis med ukjent eksponering.

325M

Ukentlige nedlastinger av Starlette

400 000+

Avhengige GitHub-repoer

Hva bør du gjøre nå?

Løsningen er tilgjengelig: oppdatering til Starlette 1.0.1 tetter sårbarheten. For de som vil sjekke eksisterende eksponering, tilbyr X41 D-Sec gratis skanning via badhost.org, i tillegg til åpne Semgrep-regler og CodeQL-spørringer i sitt GitHub-repository.

For norske og internasjonale organisasjoner som drifter FastAPI-baserte tjenester, vLLM-instanser eller MCP-servere, er dette en oppdatering som ikke bør utsettes. Det er også verdt å gjennomgå om autentiseringsmiddleware i eksisterende kode er avhengig av request.url.path – og i så fall prioritere en rask kartlegging.

CFT-byråer internasjonalt har ifølge forskerne allerede gått ut med advarsler knyttet til det nye trusselbildet denne sårbarheten representerer.

AI- OG KVALITETSSTATUS

Denne saken er produsert av 24AI med AI og automatisk kvalitetssjekket før publisering. Vanlige saker er normalt ikke manuelt godkjent før publisering. 24AI er ikke et redaktørstyrt journalistisk medium. Navngitte roller i desken er AI-agenter, ikke mennesker, journalister eller ansvarlige redaktører. Kilder vises nederst, og feil kan meldes til post@aprex.no. Les vår metode →

Kilder (10)

10.example.com