技术说明
在Mem0自托管服务器(版本至0.2.8,在提交ae7f406中修复)中,POST /configure端点修改全局LLM提供商和嵌入器配置(例如,为所有内存操作使用哪个AI提供商和模型)通过JWT或X-API-Key验证认证,但不验证调用者是否具有管理范围。因此任何经认证的低权限用户都可以覆盖全局LLM或嵌入器配置——可能将所有未来内存操作重定向到攻击者控制的模型端点或嵌入提供商,启用数据泄露或代理内存上下文操纵。
攻击途径
经认证的攻击者(任何API密钥持有者)向/configure发送POST,包含攻击者控制的LLM提供商设置。从那时起,通过Mem0服务器的所有内存写入和读取使用攻击者的端点,暴露存储的代理内存并可能破坏未来的代理推理。
受影响系统
Mem0自托管服务器≤0.2.8。Mem0被广泛用作LLM代理的长期内存层;破坏其配置影响所有依赖它进行持久上下文的代理。
缓解措施
升级Mem0至提交ae7f406或更新版本(修复向/configure添加了基于角色的授权)。限制API密钥颁发给受信任的主体;审计谁持有Mem0 API密钥;添加网络级控制,将/configure访问限制为仅管理员主机。