기술 설명
Mem0 self-hosted server (버전 0.2.8 이하, commit ae7f406에서 수정됨)에서 전역 LLM 제공자 및 임베더 구성을 수정하는 POST /configure 엔드포인트(예: 모든 메모리 작업에 사용할 AI 제공자 및 모델)는 JWT 또는 X-API-Key를 통해 인증을 검증하지만 호출자가 관리자 범위를 가지고 있는지 검증하지 않습니다. 따라서 모든 인증된 낮은 권한의 사용자가 전역 LLM 또는 임베더 구성을 덮어쓸 수 있으며, 이는 모든 향후 메모리 작업을 공격자가 제어하는 모델 엔드포인트 또는 임베딩 제공자로 리다이렉트하여 데이터 유출 또는 에이전트 메모리 컨텍스트 조작을 가능하게 합니다.
공격 경로
인증된 공격자(모든 API 키 보유자)가 공격자가 제어하는 LLM 제공자 설정으로 /configure에 POST를 전송합니다. 그 시점부터 Mem0 서버를 통한 모든 메모리 쓰기 및 읽기는 공격자의 엔드포인트를 사용하여 저장된 에이전트 메모리를 노출하고 잠재적으로 향후 에이전트 추론을 손상시킵니다.
영향받는 시스템
Mem0 self-hosted server ≤0.2.8. Mem0은 LLM 에이전트의 장기 메모리 계층으로 널리 사용되며, 해당 구성이 손상되면 영속적 컨텍스트에 대해 이에 의존하는 모든 에이전트가 영향을 받습니다.
완화 방안
Mem0을 commit ae7f406 이상으로 업그레이드하십시오(/configure에 역할 기반 권한 부여를 추가하는 수정 사항). API 키 발급을 신뢰할 수 있는 주체로 제한하고, Mem0 API 키를 보유한 사용자를 감사하며, /configure 접근을 관리자 호스트만으로 제한하는 네트워크 수준 제어를 추가하십시오.