BadHost: Eine Mini-Lücke bedroht Millionen KI-Agenten und MCP-Server

Eine einzige Sonderzeichen-Eingabe genügt – und plötzlich steht die Tür zu KI-Agenten, Modell-Servern und MCP-Schnittstellen offen. Die Sicherheitslücke «BadHost» trifft das Python-Fundament, auf dem ein Grossteil der heutigen KI-Infrastruktur läuft. Auch in der Schweiz dürften zahlreiche Systeme betroffen sein.

Was BadHost genau ist

BadHost ist eine Schwachstelle im Web-Framework Starlette – jenem Baustein, der unter FastAPI und damit unter einem riesigen Teil der Python-KI-Welt steckt. Starlette wird laut Sicherheitsforschern rund 325 Millionen Mal pro Woche heruntergeladen. Die Lücke trägt die Kennung CVE-2026-48710.

Der Fehler ist erschreckend simpel: Starlette baut die angefragte URL zusammen, indem es den vom Client gelieferten Host-Header ungeprüft mit dem Pfad kombiniert. Schiebt eine Angreiferin ein `/`, `?` oder `#` in diesen Header, verschiebt sich die Pfad-Grenze – und eine Zugangskontrolle, die eigentlich `/admin` blockiert, lässt die Anfrage durch. Im Klartext: Authentifizierung umgangen, ganz ohne Passwort.

Warum KI-Systeme besonders gefährdet sind

Entdeckt wurde die Lücke von den Sicherheitsfirmen Secwest und X41 D-Sec – ausgerechnet bei einem Code-Audit des KI-Modell-Servers vLLM. Genau das macht die Sache brisant: Betroffen sind nicht nur klassische Web-Apps, sondern die typische KI-Werkzeugkette – vLLM, der Proxy LiteLLM, Agenten-Frameworks und vor allem MCP-Server.

Die Forscher warnen, dass gerade MCP-Server ein verlässliches Einfallstor bieten, weil der MCP-Standard offene, nicht authentifizierte Endpunkte vorschreibt. Viele dieser KI-Dienste laufen zudem in Labor- und internen Netzen ohne vorgelagerten Schutz – also direkt angreifbar. Offiziell wurde die Lücke nur als mittel eingestuft (CVSS 6.5), doch die Entdecker halten das für deutlich untertrieben: Über die Kette aus Auth-Bypass liessen sich auch Server-Side-Request-Forgery und im schlimmsten Fall Codeausführung erreichen.

Was jetzt zu tun ist

Die gute Nachricht: Der Fix ist da. Starlette 1.0.1 (veröffentlicht am 21. Mai) prüft den Host-Header, bevor er die URL zusammenbaut. Wer eigene KI-Tools, Agenten oder MCP-Server auf FastAPI oder Starlette betreibt, sollte umgehend aktualisieren. Unter `badhost.org` steht zudem ein kostenloser Scanner bereit, der prüft, ob ein System verwundbar ist.

Etwas Entwarnung gibt es: Wer seine Dienste nicht direkt ins Internet stellt, sondern hinter CDN, Loadbalancer oder API-Gateway betreibt, ist meist geschützt – die nötigen Sonderzeichen werden dort oft schon herausgefiltert.

Einordnung: BadHost ist ein Lehrstück darüber, wie KI-Infrastruktur entsteht: schnell zusammengesteckt aus Open-Source-Bausteinen, von denen jeder für sich korrekt funktioniert – die Lücke entsteht erst im Zusammenspiel. Für Schweizer Teams, die gerade eigene Agenten und MCP-Server bauen, heisst das: Sicherheit gehört von Anfang an mitgedacht, nicht erst nach dem ersten Vorfall.