每週3.25億次下載的漏洞：你的AI助理在洩密嗎？

你的AI助理正在幫你讀郵件、查行事曆、存取資料庫——而它的「鑰匙圈」可能已經被人複製了一份。

事件全貌：一個框架，數百萬個破口

資安研究人員近日發出警告：廣泛使用的開源框架 Starlette 存在重大安全漏洞，攻擊者可藉此入侵執行AI代理的伺服器，並竊取敏感資料與第三方帳戶的認證憑證。

Starlette 是Python生態系中ASGI（非同步伺服器閘道介面）的主流實作，其開發者表示該框架每週下載量達3億2500萬次。更關鍵的是，它是 FastAPI 等廣泛使用框架的底層基礎，數千個開源專案都依賴它運作。換言之，這個漏洞的影響範圍並不局限於 Starlette 本身，而是以它為核心向外輻射，形成一張巨大的風險網絡。

這個漏洞之所以特別危險，在於 Starlette 與MCP（模型上下文協議）伺服器的連接關係。MCP是由 Anthropic 於2024年底提出、目前已成為業界標準的協議，讓 OpenAI、Anthropic 等主要供應商的AI代理能夠存取外部資源——包括使用者資料庫、電子郵件帳號、行事曆，以及各種第三方服務。為了讓AI代理能順暢連接這些外部系統，MCP伺服器必須儲存每個系統的認證憑證，這使其成為攻擊者眼中極具價值的目標。

研究人員強調，此漏洞的利用門檻極低，即便不具備高深技術的攻擊者也能得手，且目前全球暴露在外的伺服器數量以百萬計。

為何此刻格外重要

廣告

廣告合作

[email protected]

廣告

時間點很關鍵。2025至2026年間，企業導入AI代理的速度急遽加快，從客服自動化到財務分析，AI代理正在接管愈來愈多需要存取敏感系統的工作流程。MCP協議的普及，本質上是在為這些AI代理建構一套「通用鑰匙系統」——而現在，這套系統的底層基礎被發現存在漏洞。

對華人科技圈而言，這個消息有幾層值得關注的面向。

首先是供應鏈安全的老問題以新面貌重現。過去幾年，從美國對中國科技企業的制裁，到台灣半導體供應鏈的地緣政治角力，「誰控制了基礎設施」始終是核心議題。這次的漏洞提醒我們，數位基礎設施的風險不只來自地緣政治，也可能潛伏在每天被數億次下載的開源程式碼裡。

其次，中國大陸的情況有所不同，但並非免疫。中國在AI基礎設施上大量使用自研框架與國產替代方案，在一定程度上降低了對 Starlette 的直接依賴。然而，中國科技企業在海外部署的服務、以及與國際開源生態系深度整合的企業，仍面臨相應風險。台灣、香港、新加坡等地的科技企業則因高度融入全球開源生態，受影響程度更直接。

不同視角下的這場危機

開發者社群面臨的是立即性的實務問題：檢查專案是否使用 FastAPI 或 Starlette、是否運行MCP伺服器，並在補丁釋出後盡速更新。然而，在許多新創公司與中小型開發團隊中，安全更新往往被排在功能開發之後，這種優先順序的結構性問題才是更深層的隱患。

企業資安團隊則需要重新審視「AI代理的攻擊面」。當AI代理能夠存取的系統愈多，每一個連接點就是一個潛在的侵入口。便利性與安全性之間的取捨，在AI代理時代變得更加尖銳。

開源生態系的永續性問題也再次浮上檯面。每週3億2500萬次下載的框架，背後的維護者可能只是少數幾位開發者，資源嚴重不對等。這與2014年 OpenSSL 的「Heartbleed」漏洞事件如出一轍——當時那個支撐全球三分之二加密流量的程式庫，年度捐款僅約2000美元。