NewsKategorienNewsletter-ArchivÜber uns
AnmeldenKostenlos abonnieren

Der wöchentliche KI-Newsletter für die Schweiz. Kompakt, relevant, zero Bullshit. 5 Minuten lesen, 1 Woche informiert.

FOLGE UNS
LIXIG
NAVIGATION
KI NewsArchivNewsletter-ArchivAutorenÜber unsKontakt
KATEGORIEN
KI-ForschungKI-BusinessRegulierung & EthikKI in der SchweizKI-Tools & AppsNeue Modelle
RECHTLICHES
ImpressumDatenschutzAGB
© 2026 Inoo GmbH · Altstätten SG · Schweiz
Ein Produkt von InooSwiss Made Software
HOME·NEWS·REGULIERUNG & ETHIK

BadHost: Eine Mini-Lücke bedroht Millionen KI-Agenten und MCP-Server

Die Sicherheitslücke «BadHost» im Python-Framework Starlette lässt sich mit einem einzigen Sonderzeichen ausnutzen und hebelt die Zugangskontrolle aus. Betroffen sind FastAPI, vLLM und besonders MCP-Server – auch in der Schweiz.

Pascal Eugster
Pascal Eugster
GRÜNDER & ENTWICKLER
3. JUNI 2026
2 MIN. LESEZEIT
Skizze einer schweren Serverraum-Stahltür, die einen Spalt offen steht, ein kleiner Schlüssel liegt davor am Boden, Tastenfeld an der Wand, dunkler Korridor
Skizze einer schweren Serverraum-Stahltür, die einen Spalt offen steht, ein kleiner Schlüssel liegt davor am Boden, Tastenfeld an der Wand, dunkler Korridor (Dark)
INHALT
01Was BadHost genau ist02Warum KI-Systeme besonders gefährdet sind03Was jetzt zu tun ist
INHALT
01Was BadHost genau ist02Warum KI-Systeme besonders gefährdet sind03Was jetzt zu tun ist
in
PARTNER · INOO GMBH
Wie viel KI verträgt dein Betrieb? In 30 Minuten Klartext.

Kostenloses Erstgespräch — herstellerneutral, direkt aus dem Rheintal.

Gespräch buchen →
DAS WICHTIGSTE IN KÜRZE

Ein einziges Sonderzeichen im Host-Header genügt, um die Authentifizierung vieler KI-Dienste auszuhebeln – das Update auf Starlette 1.0.1 ist Pflicht.

Eine einzige Sonderzeichen-Eingabe genügt – und plötzlich steht die Tür zu KI-Agenten, Modell-Servern und MCP-Schnittstellen offen. Die Sicherheitslücke «BadHost» trifft das Python-Fundament, auf dem ein Grossteil der heutigen KI-Infrastruktur läuft. Auch in der Schweiz dürften zahlreiche Systeme betroffen sein.

Was BadHost genau ist

BadHost ist eine Schwachstelle im Web-Framework Starlette – jenem Baustein, der unter FastAPI und damit unter einem riesigen Teil der Python-KI-Welt steckt. Starlette wird laut Sicherheitsforschern rund 325 Millionen Mal pro Woche heruntergeladen. Die Lücke trägt die Kennung CVE-2026-48710.

Der Fehler ist erschreckend simpel: Starlette baut die angefragte URL zusammen, indem es den vom Client gelieferten Host-Header ungeprüft mit dem Pfad kombiniert. Schiebt eine Angreiferin ein `/`, `?` oder `#` in diesen Header, verschiebt sich die Pfad-Grenze – und eine Zugangskontrolle, die eigentlich `/admin` blockiert, lässt die Anfrage durch. Im Klartext: Authentifizierung umgangen, ganz ohne Passwort.

Warum KI-Systeme besonders gefährdet sind

Entdeckt wurde die Lücke von den Sicherheitsfirmen Secwest und X41 D-Sec – ausgerechnet bei einem Code-Audit des KI-Modell-Servers vLLM. Genau das macht die Sache brisant: Betroffen sind nicht nur klassische Web-Apps, sondern die typische KI-Werkzeugkette – vLLM, der Proxy LiteLLM, Agenten-Frameworks und vor allem MCP-Server.

Die Forscher warnen, dass gerade MCP-Server ein verlässliches Einfallstor bieten, weil der MCP-Standard offene, nicht authentifizierte Endpunkte vorschreibt. Viele dieser KI-Dienste laufen zudem in Labor- und internen Netzen ohne vorgelagerten Schutz – also direkt angreifbar. Offiziell wurde die Lücke nur als mittel eingestuft (CVSS 6.5), doch die Entdecker halten das für deutlich untertrieben: Über die Kette aus Auth-Bypass liessen sich auch Server-Side-Request-Forgery und im schlimmsten Fall Codeausführung erreichen.

Was jetzt zu tun ist

Die gute Nachricht: Der Fix ist da. Starlette 1.0.1 (veröffentlicht am 21. Mai) prüft den Host-Header, bevor er die URL zusammenbaut. Wer eigene KI-Tools, Agenten oder MCP-Server auf FastAPI oder Starlette betreibt, sollte umgehend aktualisieren. Unter `badhost.org` steht zudem ein kostenloser Scanner bereit, der prüft, ob ein System verwundbar ist.

Etwas Entwarnung gibt es: Wer seine Dienste nicht direkt ins Internet stellt, sondern hinter CDN, Loadbalancer oder API-Gateway betreibt, ist meist geschützt – die nötigen Sonderzeichen werden dort oft schon herausgefiltert.

Einordnung: BadHost ist ein Lehrstück darüber, wie KI-Infrastruktur entsteht: schnell zusammengesteckt aus Open-Source-Bausteinen, von denen jeder für sich korrekt funktioniert – die Lücke entsteht erst im Zusammenspiel. Für Schweizer Teams, die gerade eigene Agenten und MCP-Server bauen, heisst das: Sicherheit gehört von Anfang an mitgedacht, nicht erst nach dem ersten Vorfall.

Quellen

InfoQ – BadHost Vulnerability Exposes AI Agents, Evaluators, and LLM Gateways↗ EXTERNER LINKX41 D-Sec – Security Advisory X41-2026-002 (Starlette)↗ EXTERNER LINKBadHost – CVE-2026-48710 Starlette Host-Header Auth Bypass↗ EXTERNER LINKCVE-2026-48710 – CVE Record↗ EXTERNER LINK
TEILEN
LinkedIn→X / Twitter→E-Mail→
KOSTENLOS ABONNIEREN
Diese News jeden Freitag in dein Postfach?

WEITERLESENDas könnte dich auch interessieren.

Illustration eines Filmschneideraums mit Zelluloidstreifen und Filmspule, kinewsletter.ch Stil
Illustration eines Filmschneideraums mit Zelluloidstreifen und Filmspule, kinewsletter.ch Stil
KI-BUSINESS·18. JULI 2026

Netflix nutzte generative KI in rund 300 Titeln

Im Aktionärsbrief zum zweiten Quartal nennt Netflix erstmals eine Zahl: In rund 300 Titeln steckt 2026 generative KI, der Schwerpunkt liegt in der Postproduktion. Co-CEO Ted Sarandos rechnet vor, wie 17 Minuten einer Doku-Serie doppelt so schnell und zum halben Preis entstanden.

Illustration von Vertragsmappe und Füllfederhalter auf einem Signiertisch, kinewsletter.ch Stil
Illustration von Vertragsmappe und Füllfederhalter auf einem Signiertisch, kinewsletter.ch Stil
REGULIERUNG & ETHIK·18. JULI 2026

China gründet mit 29 Staaten eine eigene KI-Weltorganisation

29 Staaten haben in Shanghai die WAICO gegründet — Xi nennt sie einen «wichtigen Meilenstein». Neben Genf entsteht ein zweiter Pol der KI-Regulierung.

Illustration eines Aktenschranks mit weit offen stehenden Schubladen, herausquellenden Papieren und einem offenen Vorhängeschloss am Boden, kinewsletter.ch Stil
Illustration eines Aktenschranks mit weit offen stehenden Schubladen, herausquellenden Papieren und einem offenen Vorhängeschloss am Boden, kinewsletter.ch Stil
KI-TOOLS & APPS·17. JULI 2026

Grok Build lud ganze Repos hoch – jetzt ist der Code offen

xAIs Terminal-Coding-Agent «Grok Build» hat ganze Git-Repositories auf Server des Unternehmens geladen – inklusive Commit-History und Dateien, die der Agent nie gelesen hat. Nach dem Aufschrei stoppte xAI den Upload und legte den kompletten Quellcode auf GitHub offen: 844'530 Zeilen Rust unter Apache 2.0.

Handgezeichnete Illustration einer Rechenzentrum-Halle mit Pause-Schild, Strommasten und Wassertropfen, kinewsletter.ch Stil
Handgezeichnete Illustration einer Rechenzentrum-Halle mit Pause-Schild, Strommasten und Wassertropfen, kinewsletter.ch Stil
REGULIERUNG & ETHIK·16. JULI 2026

New York stoppt neue KI-Rechenzentren – als erster US-Bundesstaat

Gouverneurin Kathy Hochul zieht per Dekret die Notbremse: New York pausiert als erster US-Bundesstaat den Bau neuer Hyperscale-Rechenzentren für bis zu ein Jahr. Der Grund ist der Strom- und Wasserhunger des KI-Booms – und steigende Stromrechnungen für die Bevölkerung.

Handgezeichnete Illustration eines Android-Einrichtungsbildschirms mit leerer Suchmaschinen-Auswahlliste und Lupe, kinewsletter.ch Stil
Handgezeichnete Illustration eines Android-Einrichtungsbildschirms mit leerer Suchmaschinen-Auswahlliste und Lupe, kinewsletter.ch Stil
KI IN DER SCHWEIZ·16. JULI 2026

Google streicht die Suchmaschinen-Wahl – jetzt ermittelt die WEKO

Auf neuen Android-Geräten in der Schweiz fällt der Auswahlbildschirm für die Suchmaschine weg – Google Search ist neu automatisch gesetzt. Die Wettbewerbskommission WEKO hat deshalb eine Vorabklärung eröffnet. Denn im EWR bleibt die Auswahl bestehen.

Handgezeichnete Skizze eines leergeräumten Büroarbeitsplatzes mit Umzugskarton, Monitor mit Ranking-Balkendiagramm, Namensschild und leerem Bürostuhl.
Handgezeichnete Skizze eines leergeraeumten Bueroarbeitsplatzes mit Umzugskarton, Monitor mit Ranking-Balkendiagramm, Namensschild und leerem Buerostuhl (Dark)
REGULIERUNG & ETHIK·15. JULI 2026

Klage: Meta liess KI die Kündigungen aussuchen

26 Meta-Angestellte klagen in Kalifornien: Der Konzern habe mit KI-Systemen, Aktivitätsdaten und algorithmischen Rankings gezielt Mitarbeitende in Eltern- und Krankheitsurlaub auf die Kündigungsliste gesetzt. Der Fall zeigt die Risiken automatisierter Personalentscheide.

Mehr aus Regulierung & Ethik →