무슨 일이 있었나
LLM 관찰성/라우팅 게이트웨이인 Helicone의 ai-gateway는 AWS Metadata Service 디스패처 구성 요소에서 SSRF 취약점을 포함하고 있어 원격 공격자가 추출된 경로_및_쿼리 인수를 조작하여 내부 엔드포인트에 도달할 수 있습니다. 작동하는 익스플로잇이 공개되었습니다.
왜 중요한가
Helicone과 같은 AI 게이트웨이는 LLM 트래픽 앞의 권한 있는 네트워크 위치에 있으며, 종종 IAM 역할이 연결된 클라우드 컴퓨팅 위에 있습니다. 클라우드 메타데이터 서비스에 대한 SSRF는 인스턴스 역할 자격 증명 도용의 잘 알려진 경로이며, 이는 AI 인프라를 호스팅하는 더 넓은 클라우드 환경으로의 피벗에 사용될 수 있습니다.
공격 경로
ai-gateway/src/dispatcher/service.rs(AWS Metadata Service 구성 요소)의 build_target_url 함수는 extracted_path_and_query 인수를 제대로 검증하지 못하므로, 원격 공격자가 요청 라우팅을 조작하여 AWS 인스턴스 메타데이터 서비스 또는 기타 내부/의도하지 않은 엔드포인트에 도달할 수 있습니다(SSRF).
영향받는 시스템
Helicone ai-gateway 0.2.0-beta.30까지
완화 방안
공개 기준 시점으로 확인된 벤더 패치 없음; 벤더가 초기 공개에 응답하지 않았습니다. ai-gateway 호스트에서 아웃바운드 네트워크 액세스를 제한하고 네트워크 레이어에서 클라우드 메타데이터 엔드포인트(169.254.169.254)에 대한 액세스를 비활성화/필터링하는 것을 보상 제어로 사용합니다.