事件经过
Crawl4AI Docker API 的 SSRF 保护仅验证爬取目标 URL。代理参数不受相同的目标检查限制,允许未经身份验证的调用者将无头浏览器路由到任何地址 — 包括内部云元数据端点 (169.254.169.254)、内部 API 或其他网络邻近的服务。
影响分析
在云部署的 AI 管道中,此 SSRF 可启用实例元数据凭证泄露 (AWS/GCP/Azure IAM 令牌)、访问内部 AI 模型服务端点以及私有网络拓扑侦察 — 全部无需身份验证。
攻击途径
未经身份验证的攻击者发送爬取请求,其代理地址指向内部 IP;Docker API 服务器仅验证爬取目标 URL,而不验证代理地址,通过攻击者指定的内部代理路由浏览器流量
受影响系统
Crawl4AI < 0.8.9
缓解措施
升级至 Crawl4AI 0.8.9。公告:https://github.com/unclecode/crawl4ai/security/advisories/GHSA-6qhc-x826-342c