Apa yang terjadi
ai-gateway Helicone, gateway observability/routing LLM, mengandung kerentanan SSRF dalam komponen AWS Metadata Service dispatcher yang memungkinkan penyerang jarak jauh memanipulasi argument extracted_path_and_query untuk mencapai endpoint internal. Exploit yang berfungsi telah dipublikasikan.
Mengapa penting
Gateway AI seperti Helicone duduk dalam posisi network privileged di depan traffic LLM, sering di cloud compute dengan IAM roles terlampir; SSRF terhadap cloud metadata service adalah path terkenal untuk instance-role credential theft, yang kemudian dapat digunakan untuk pivot ke lingkungan cloud yang lebih luas yang menghosting infrastruktur AI.
Vektor serangan
Fungsi build_target_url dalam ai-gateway/src/dispatcher/service.rs (komponen AWS Metadata Service) gagal memvalidasi argument extracted_path_and_query dengan benar, memungkinkan penyerang jarak jauh memanipulasi routing permintaan untuk mencapai AWS instance metadata service atau endpoint internal/unintended lainnya (SSRF).
Sistem yang terdampak
Helicone ai-gateway hingga 0.2.0-beta.30
Mitigasi
Tidak ada vendor patch yang dikonfirmasi pada saat disclosure; vendor tidak merespons early disclosure. Restrict outbound network access dari host ai-gateway dan disable/filter akses ke cloud metadata endpoint (169.254.169.254) di network layer sebagai compensating control.