Bir güvenlik araştırmacısı, dünya çapında milyonlarca yapay zeka aracısı ve aracının, bilgisayar korsanlarının kendilerini çalıştıran sunuculara sızmasına ve hassas verileri ve kimlik bilgilerini üçüncü taraf hesaplara aktarmasına olanak verebilecek kritik bir güvenlik açığı nedeniyle tehlikeye girdiği konusunda uyarıyor.
Güvenlik açığı, geliştiricisinin haftada 325 milyon indirme aldığını söylediği açık kaynaklı bir çerçeve olan Starlette'de mevcut. Diğer binlerce açık kaynak projesi de Starlette'in çalışmasını gerektirdiğinden savunmasız durumda. Çerçeve, çok sayıda isteğin aynı anda verimli bir şekilde işlenmesine olanak tanıyan ASGI'nin (asenkron sunucu ağ geçidi arayüzü) bir uygulamasıdır. Starlette, FastAPI'nin ve Python uygulamalarında ve diğer pek çok uygulamada hizmet oluşturmaya yönelik yaygın olarak kullanılan çerçevelerin temelidir.
Kullanımı önemsiz, milyonlarca sunucu açığa çıktı
ASGI ve buna bağlı olarak Starlette, büyük sağlayıcıların yapay zeka aracılarının kullanıcı veri tabanları, e-posta ve takvim hesapları ve her türlü diğer kaynaklar dahil olmak üzere harici kaynaklara erişmesine olanak tanıyan MCP'yi (model bağlam protokolü) çalıştıran sunuculara erişime sahiptir. Bu harici sistemlere bağlanmak için MCP sunucuları her birinin kimlik bilgilerini saklar ve bu da onları saldırganların ihlal edebileceği değerli depolar haline getirir.
