Starletteに「BadHost」発覚。週3.25億DLが効くAIエージェント直撃
この記事は、会社で AI ツールを作っている開発者や、自分でちょっとした AI アプリを動かしている方に向けた話です。普通に ChatGPT や Claude を使っているだけの方には直接の影響はほぼありませんが、「自分が使っているサービスの裏側でこんなことが起きている」という背景として読めると思います。
ここ 1〜2 年で、AI を社内ツールに組み込む会社が一気に増えました。問題はここで、その多くが同じ「土台部品」の上に乗っている、ということです。
Python(プログラミング言語のひとつ)の世界でいちばんよく使われている AI サービスの土台「Starlette(スターレット)」に、「BadHost(バッドホスト)」と名前のついた弱点が見つかりました。AI アプリの界隈ではほぼ標準とも言える部品で、見つけた研究者と Ars Technica は「世界中の AI サービスがまとめて影響を受ける」と警告しています。
何が起きているか、ひと言で
家のドアにある「住所札」を悪意のある人が貼り替えると、本来入れない部屋にも入れてしまう――そんなイメージの弱点です。
ウェブサービスは、訪問者からのリクエストに「どのサイトに来たか」という情報を必ず付ける決まりになっています。Starlette は、その情報をうまく検証していなかったため、悪意のある人が情報を偽装すると、本来見えないはずのページの権限チェックを、すり抜けられてしまう可能性がある。
公式の発表では「中程度の深刻度」とされていますが、Starlette はあまりに多くの AI サービスで土台として使われているため、影響範囲が大きい、という構図です。
「数百万の AI が危ない」が誇張ではない理由
Starlette は、単独で意識して使うものではないんですね。よくあるのは「FastAPI」という人気の土台が中で Starlette を使っていて、その FastAPI が ChatGPT 系、Claude 系の API を呼んで AI ツールを動かしている、という構図です。
つまり、自社の開発者が直接 Starlette を選んだ覚えがなくても、知らないうちに使っている可能性が高い。
正式な情報としては、弱点の番号は CVE-2026-48710、影響を受けるのは Starlette のバージョン 1.0.0 以下、修正版は 1.0.1 です。修正版にアップデートすれば直ります。
今夜〜今週、確認しておきたいこと(開発担当の方向け)
会社で AI アプリの開発・運用をしている方は、まずこの 3 つを確認したいです。
ひとつ目は、社内のシステムで FastAPI や Starlette を使っているサービスがあるかどうかの棚卸し。ふたつ目は、Starlette を 1.0.1 以上に更新すること。最後は、ロードバランサーやリバースプロキシ(社内のサービスを外に出すための中継機)で、不正な情報のリクエストをはじく設定が入っているかの確認です。
個人で開発している方や、ラズパイなどで自作 AI を動かしている方は、外からアクセスできる状態(インターネットに公開している場合)だけ、早めに更新しておくと安心です。家のローカル環境だけで動かしている分には、直接の被害は基本的にありません。
「土台」が壊れる時代の付き合い方
AI まわりの部品は更新サイクルが速い分、いろんな部品が積み重なって動いていることが多くて、自分が直接使ってない部品から弱点が出てくる、という出来事は、今後も繰り返されます。
特に AI サービスを業務に組み込んでいる組織は、「依存している部品の一覧をきちんと管理しておく仕組み」が大事になります。AI ツールは便利な反面、「自社の責任範囲」が、見えないところまで下に広がっていく技術でもあります。
ふだん ChatGPT や Claude を使うだけの方にとっては、今回はあくまで「裏側の話」です。とはいえ、こうやって AI の土台の脆弱性がニュースになり、すぐ修正されている、という景色は、これからどんどん身近になっていきます。BadHost の動向は、もう少し続報を見ていきたい話です。
GitHub Security Advisory: Missing Host header validation poisons request.url.path
BadHost: CVE-2026-48710 Starlette Host-Header Auth Bypass
Ars Technica: Millions of AI agents imperiled by critical vulnerability in open source package
