Penjelasan teknis
Dalam Mem0 self-hosted server (versi hingga 0.2.8, diperbaiki dalam commit ae7f406), endpoint POST /configure yang memodifikasi konfigurasi penyedia LLM global dan embedder (misalnya, penyedia AI dan model mana yang digunakan untuk semua operasi memory) memverifikasi autentikasi melalui JWT atau X-API-Key tetapi tidak memvalidasi bahwa penelepon memiliki scope administratif. Oleh karena itu, pengguna berprivilese rendah yang telah terotentikasi dapat menimpa konfigurasi LLM atau embedder global — berpotensi mengarahkan ulang semua operasi memory di masa depan ke endpoint model atau penyedia embedding yang dikendalikan penyerang, memungkinkan exfiltration data atau manipulasi konteks memory agen.
Vektor serangan
Penyerang yang terotentikasi (pemegang API key apa pun) mengirim POST ke /configure dengan pengaturan penyedia LLM yang dikendalikan penyerang. Sejak saat itu, semua penulisan dan pembacaan memory melalui server Mem0 menggunakan endpoint penyerang, mengekspos memory agen yang tersimpan dan berpotensi merusak penalaran agen di masa depan.
Sistem yang terdampak
Mem0 self-hosted server ≤0.2.8. Mem0 banyak digunakan sebagai lapisan memory jangka panjang untuk agen LLM; mengompromikan konfigurasinya mempengaruhi semua agen yang mengandalkannya untuk konteks persisten.
Mitigasi
Tingkatkan Mem0 ke commit ae7f406 atau yang lebih baru (perbaikan menambahkan otorisasi berbasis peran ke /configure). Batasi penerbitan API key kepada principal yang tepercaya; audit siapa yang memegang Mem0 API key; tambahkan kontrol tingkat jaringan yang membatasi akses /configure hanya ke host admin.