情报
AI 生成的结构化厂商动态简报
BadHost漏洞(CVE-2026-48710):Starlette单字符绕过认证,全球AI Agent基础设施面临暴露风险
安全机构X41 D-Sec在OSTIF资助的vLLM审计中发现Starlette框架认证绕过漏洞CVE-2026-48710(BadHost)。根因:Starlette用HTTP Host头拼接重建request.url时未验证Host值合法性——注入/、?或#字符可导致request.url.path与ASGI路由的scope[path]产生解析不一致,path-based认证中间件被欺骗放行受保护资源。MCP Server特别高危:MCP规范要求/.well-known/oauth-authorization-server等Discovery端点默认公开,为攻击者提供最可靠的Host头注入路径。X41 D-Sec扫描发现生物制药临床试验数据库、企业邮箱完整访问权、AWS云拓扑、身份验证公司PII、工业设备堡垒机SSH等生产系统暴露。Starlette 1.0.1(5月21日)已修复,但3个月补丁周期(2月发现→5月发布)和间接依赖链导致大量部署仍受影响。X41评级CVSS 7.0(High),Starlette维护者评级6.5(Moderate)——分歧在于path-based auth是否为anti-pattern。
七家欧洲科技巨头联合发声,呼吁欧盟改革以捍卫技术主权
ASML、空客、爱立信、Mistral AI等七家欧洲头部科技公司CEO联署公开信,呼吁欧盟简化数字法规、改革竞争政策,以加速工业AI等下一代技术在欧洲的规模化应用,应对全球竞争。
思科借工业网络更新周期,推动OT安全原生集成
思科通过博客阐述其OT安全战略,核心是引导客户在工业网络设备更新周期中,选择内置安全功能(如资产发现、网络分段)的交换机,而非叠加独立监控方案。此举旨在将安全从附加成本转变为基础设施的固有属性,并应对未来工业AI和自动化带来的数据与连接挑战。
Cisco推广多元化增长杠杆策略
Cisco首席战略官提出企业需超越传统Build vs Buy二元决策,采用系统化增长策略。公司定义五个杠杆:内部开发、并购、合作、投资和孵化,强调生态系统协作以加速创新和市场响应。
AWS与西门子能源深化合作推进数据中心能源解决方案
AWS宣布与西门子能源扩大战略合作,将AWS云服务和AI技术(包括Amazon Bedrock和SageMaker)应用于西门子能源的智能制造和工厂自动化。双方还将共同探索数据中心电力基础设施的创新方案,包括千兆瓦级发电和微电网技术。