Starlette서 'BadHost' 취약점 발견, MCP·AI 에이전트 수백만 대 위협

Ars Technica가 오픈소스 프레임워크 Starlette의 치명적 취약점으로 전 세계 수백만 AI 에이전트와 도구가 노출됐다고 전했다. 한 보안 연구진은 공격자가 Starlette를 돌리는 서버에 침투해 민감 데이터와 외부 계정 자격증명까지 빼낼 수 있다고 경고했다.

Starlette는 개발자에 따르면 주당 3억 2,500만 회 다운로드되며, 이를 의존하는 수천 개 오픈소스 프로젝트도 함께 영향권에 있다. 다수 요청을 동시에 효율적으로 처리하는 ASGI(비동기 서버 게이트웨이 인터페이스) 구현체로, 파이썬 앱에서 서비스를 만드는 FastAPI 등 널리 쓰이는 프레임워크의 토대다.

ASGI와 Starlette는 MCP(model context protocol) 서버에도 접근할 수 있는데, MCP 서버는 주요 제공자의 AI 에이전트가 사용자 데이터베이스, 이메일·캘린더 계정 같은 외부 자원에 연결하도록 해 준다. 연결한 외부 시스템마다 자격증명을 보관하기 때문에 공격자에게는 특히 값진 표적이라고 Ars Technica는 짚었다.

이번 취약점은 CVE-2026-48710으로 등록됐고 'BadHost'라는 이름이 붙었다. 익스플로잇이 단순해 방화벽이 제대로 구성되지 않은 대부분 시스템에서 통하며, Starlette 1.0.1 이전 버전이 영향을 받는다. 1.0.1은 금요일 공개됐다.

보안업체 Secwest 연구진은 "HTTP Host 헤더에 한 글자만 주입하면 FastAPI 라우팅 코어인 Starlette의 경로 기반 인가가 우회된다"고 적었다. 이 원시 공격은 FastAPI를 통해 vLLM, LiteLLM, Text Generation Inference, 대부분의 OpenAI-shim 프록시, MCP 서버, 에이전트 하니스, 평가 대시보드, 모델 관리 UI까지 파이썬 AI 도구 생태계의 큰 영역에 미친다고 설명했다. 버그가 처음 발견된 곳은 vLLM이다.

BadHost의 심각도 점수는 10점 만점에 7점이지만, Secwest는 Starlette에 의존하는 앱 사용자들에게 미치는 위협을 "실질적으로 과소평가한 수치"라고 지적했다. 취약점을 발견한 보안업체 X41 D-Sec은 이를 "치명적 심각도"라고 표현했다.

X41 D-Sec은 보안업체 Nemesis와 협력해 특정 서버가 취약한지 확인할 수 있는 온라인 스캐너를 함께 만들었다고 Ars Technica는 전했다.