何が起きたか
Crawl4AI Docker API の SSRF 保護は、クロール対象 URL のみを検証します。プロキシパラメータは同じ宛先チェックの対象ではなく、認証されていない呼び出し元が、内部クラウドメタデータエンドポイント (169.254.169.254)、内部 API、または他のネットワーク隣接サービスを含む任意のアドレスを通じてヘッドレスブラウザをルーティングできます。
なぜ重要か
クラウドにデプロイされた AI パイプラインでは、この SSRF により、インスタンスメタデータ認証情報 (AWS/GCP/Azure IAM トークン) の流出、内部 AI モデル提供エンドポイントへのアクセス、およびプライベートネットワークトポロジの偵察が可能になります。すべて認証なしで実行できます。
攻撃経路
認証されていない攻撃者が、内部 IP を指すプロキシアドレスを含むクロールリクエストを送信します。Docker API サーバーはクロール対象 URL のみを検証し、プロキシアドレスは検証しないため、ブラウザトラフィックは攻撃者が指定した内部プロキシを通じてルーティングされます。
影響を受けるシステム
Crawl4AI < 0.8.9
緩和策
Crawl4AI 0.8.9 にアップグレードしてください。アドバイザリ: https://github.com/unclecode/crawl4ai/security/advisories/GHSA-6qhc-x826-342c