事件经过
Crawl4AI 的 Docker API 服务器(0.8.8 之前)允许通过其 /md、/llm 和 /llm/job 端点上的精心制作的 base_url/api_token 参数进行未认证的 LLM API 流量重定向和任意环境变量披露,启用了提供商 API 密钥和用于认证令牌的签名密钥的盗窃。
影响分析
泄露 JWT SECRET_KEY 允许针对该服务的完全认证绕过,而 LLM 提供商密钥盗窃启用攻击者控制的计费滥用和进一步的横向移动 — 一个广泛使用的 AI 网络爬取/LLM 提取工具中的高严重性凭证泄露漏洞。
攻击途径
未认证的攻击者可以使用恶意 base_url 参数调用暴露的 /md、/llm 和 /llm/job 端点来重定向 LLM API 调用到攻击者控制的端点,并将 api_token 设置为 env:VARIABLE_NAME 来读取任意服务器端环境变量 — 泄露 LLM 提供商 API 密钥和用于认证的 JWT SECRET_KEY。
受影响系统
0.8.8 之前的 Crawl4AI(Docker API 服务器)
缓解措施
将 Crawl4AI 升级到 0.8.8 或更高版本;不要未认证地暴露 Docker API 服务器;轮换任何可能已被泄露的 LLM 提供商密钥和 JWT 密钥。