Miljoenen AI-agents en -tools bevatten een kwetsbaarheid waardoor aanvallers toegang tot de onderliggende server kunnen krijgen en gegevens kunnen stelen, zo waarschuwen beveiligingsonderzoekers. Het beveiligingslek is aanwezig in Starlette, een open source ASGI (Asynchronous Server Gateway Interface) framework. Het biedt een interface tussen Python-webservers, frameworks en applicaties. Het vormt ook het fundament voor het web framework FastAPI. Volgens cijfers van de Python Package Index (PyPI) telt Starlette meer dan 123 miljoen downloads per week.

Het probleem, aangeduid als BadHost (CVE-2026-48710), raakt alle Python-applicaties die van Starlette of FastAPI gebruikmaken in combinatie met een specifieke middleware implementatie. Volgens de onderzoekers voert Starlette geen validatie van de Host header value uit, waardoor een aanvaller locaties (paths) kan opgeven waar hij eigenlijk geen toegang toe zou moeten hebben. De middleware die op basis van Starlette's request.url de authenticatie uitvoert om te bepalen of een bepaald request moet worden goedgekeurd zal daardoor het verzoek goedkeuren.

De onderzoekers merken op dat deze 'authentication bypass' niet specifiek is voor AI-tools, maar dat veel LLM inference servers, LLM proxyservers, AI-agent frameworks en MCP gateway implementaties op basis van FastAPI/Starlette zijn ontwikkeld en path-gebaseerde authenticatie toepassen om API-endpoints te beschermen. Het gaat bijvoorbeeld om FastLLM, vLLM en LiteLLM. Een aanvaller kan via het lek toegang krijgen tot onder andere API-keys en interne tooling. Starlette kwam op 21 mei met versie 1.0.1 waarin het probleem is verholpen. Details zijn nu openbaar gemaakt.