CISA 在 2026 年 6 月 8 日将 CVE-2026-42271 加入其 Known Exploited Vulnerabilities 目录,确认了野外的活跃利用,并给联邦民事机构到 6 月 22 日的修复期限。该漏洞是 LiteLLM 中的一个命令注入缺陷,LiteLLM 是 BerryAI 的开源项目,为团队提供在数十个 model providers 前面的单一 OpenAI 格式接口,部署为 Python SDK 或者,这里更相关地,作为管理 API keys、成本跟踪和流量路由的 standalone AI gateway 和 proxy。如果你在生产中运行一个 LLM proxy,它是 LiteLLM 的可能性很大,这正是为什么这个漏洞比其 CVSS 行单独所暗示的更重要。

该机制是具体的,值得理解。两个 endpoints,POST /mcp-rest/test/connection 和 POST /mcp-rest/test/tools/list,接受完整的服务器配置,然后以 proxy 进程本身的权限将提供的命令作为 subprocesses 生成,没有对 input 进行适当的清理。那是教科书式的命令注入:本应描述要测试的 MCP 服务器的 input 反而成为 host 执行的命令。初始访问名义上需要一个 valid proxy API key,这听起来像一个重要的障碍,直到你读到后半部分:该要求可以通过 CVE-2026-48710 完全绕过,这是 Starlette(下层的 ASGI 框架)中的一个 BadHost authentication bypass,它将一个 authenticated-only 的 bug 转变为对任何未同时修复 Starlette 的部署来说是 unauthenticated 的。修复落在 LiteLLM v1.83.7 中,它既清理了 endpoints,又添加了一个授权控制,将 MCP test endpoints 限制为持有 PROXY_ADMIN 角色的 users。

这超出常规 CVE 的原因是 LiteLLM 在 stack 中的位置。proxy 是按设计持有你通过它路由的每个 model provider 的 credentials 的唯一 component:你的 OpenAI key、你的 Anthropic key、你的 cloud-inference keys,以及通常 proxy 连接到的任何其他东西的 secrets。因此在该 host 上的命令执行不是一个被包含的事件,它是对你 AI 基础设施中最集中的 credentials 堆的立即访问,加上一个横向移动到那些 credentials 触及的一切的立足点。help-net 的报道对影响链很直白:任意命令执行、model-provider credentials 和 secrets 的盗窃,以及横向移动到连接的 AI 系统。背景使其更糟,这是在 2026 年 5 月的一个事件之后单月内第二个被武器化的 LiteLLM 漏洞,BerryAI 还遭受了 2026 年 3 月通过恶意 PyPI 包的供应链攻击。gateway 层正在被积极探测,攻击者已经注意到那是 keys 所在的地方。

周一早上,如果你自托管 LiteLLM,这些行动并不微妙,也不是可选的。首先,今天升级到 v1.83.7 或更高版本,这是真正关闭漏洞的那个。其次,如果你不能立即升级,在你的 reverse proxy 或 load balancer 处阻止对 /mcp-rest/test/connection 和 /mcp-rest/test/tools/list endpoints 的网络访问作为临时措施。第三,rotate proxy 接触过的每个 credential,假设如果你被暴露了,你应该将 keys 视为已泄露,provider keys、connector secrets、proxy environment 中的任何东西。第四,将 proxy 的网络暴露限制到可信网段,而不是让 admin 和 test surfaces 可从开放互联网到达,那是将这从糟糕的一天变成 breach 的配置。也要修复 Starlette,因为 CVE-2026-48710 是移除 API-key 前提的东西,一个依赖于攻击者没有 bypass 的防御不是防御。如果你跟踪更广泛的 agent-security 线索,这是 research 中一直在构建的警告的具体版本,gateway 和 runtime 层越成为关键基础设施,它们就越成为目标,LLM proxy 现在明显处于前线。