何が起きたか
Crawl4AIの SSRF 宛先検証は標準的な /crawl エンドポイントに存在していますが、ストリーミングクロールコードパスには適用されていないため、攻撃者制御のシードURLはチェックを完全にバイパスできます。
なぜ重要か
AI クローリングサービスに対する SSRF は、クラウドメタデータエンドポイントと内部管理インターフェースに到達するために使用される可能性があり、その後 AI インフラストラクチャ全体にピボットするために使用できるクラウドクレデンシャルをリークします — 一貫性を欠く適用されたセキュリティコントロール (1 つのコードパスに存在し、別のコードパスに存在しない) は一般的な現実的根本原因です。
攻撃経路
Docker APIサーバーは SSRF 宛先チェックをストリーミング以外の /crawl パスに適用しますが、ストリーミングパスには適用しません。handle_stream_crawl_request はシード URL を宛先検証なくクローラーに直接渡すため、攻撃者は内部サービスまたはクラウドメタデータエンドポイントに向けてリクエストを送信できます。
影響を受けるシステム
Crawl4AI (unclecode/crawl4ai) Docker APIサーバー、バージョン 0.9.0 より前
緩和策
Crawl4AI >= 0.9.0 にアップグレードしてください。アプリケーションレイヤーの修正に関わらず、クローラー ワーカーに対してネットワークレイヤーのエグレス制限を適用してください。