情报
AI 生成的结构化厂商动态简报
Google客户案例揭示:企业从LLM API消费转向自有微调开源模型
Trustpilot与Google合作,通过微调Gemma开源模型,在Dataflow和Gemini Enterprise Agent Platform上构建高吞吐量实时数据处理流水线,替代传统ML方案并实现成本可控。此举标志着企业AI策略从依赖闭源API向拥有模型所有权和优化基础设施的范式转变。
BadHost漏洞(CVE-2026-48710):Starlette单字符绕过认证,全球AI Agent基础设施面临暴露风险
安全机构X41 D-Sec在OSTIF资助的vLLM审计中发现Starlette框架认证绕过漏洞CVE-2026-48710(BadHost)。根因:Starlette用HTTP Host头拼接重建request.url时未验证Host值合法性——注入/、?或#字符可导致request.url.path与ASGI路由的scope[path]产生解析不一致,path-based认证中间件被欺骗放行受保护资源。MCP Server特别高危:MCP规范要求/.well-known/oauth-authorization-server等Discovery端点默认公开,为攻击者提供最可靠的Host头注入路径。X41 D-Sec扫描发现生物制药临床试验数据库、企业邮箱完整访问权、AWS云拓扑、身份验证公司PII、工业设备堡垒机SSH等生产系统暴露。Starlette 1.0.1(5月21日)已修复,但3个月补丁周期(2月发现→5月发布)和间接依赖链导致大量部署仍受影响。X41评级CVSS 7.0(High),Starlette维护者评级6.5(Moderate)——分歧在于path-based auth是否为anti-pattern。
NVIDIA发布AI商品目录蓝图,整合多模态模型与NIM部署
NVIDIA发布技术蓝图,演示如何组合其Nemotron LLM/VLM、FLUX图像生成与TRELLIS 3D模型,构建端到端的自动化商品目录增强系统。该系统通过模块化API和容器化部署,旨在将稀疏产品数据转化为本地化的富媒体内容。