开源框架 Starlette 曝高危漏洞，数百万 AI 代理面临数据泄露风险

安全研究人员警告，开源框架 Starlette 存在一个高危漏洞（CVE-2026-48710，名为 BadHost），可让黑客攻破运行 AI 代理的服务器，窃取敏感数据和第三方账户凭证。Starlette 每周下载量达 3.25 亿次，是 FastAPI 等流行框架的基础。

漏洞影响 Starlette 1.0.1 之前版本，通过向 HTTP Host 头注入单个字符即可绕过路径授权。受影响的还包括 vLLM、LiteLLM 等广泛使用的 Python AI 工具包。安全公司 X41 D-Sec 称该漏洞为“严重级别”，并已联合 Nemesis 推出在线扫描器。

尽管 85% 的组织希望在三年内实现代理化，但 76% 表示当前运营和基础设施无法支撑这一变革，缺乏人员、流程和工作流方面的准备。PwC 英国咨询全球 CTO Prasun Shah 指出，许多企业只是将 AI 代理叠加在现有运营模式上，而非重新设计。

Ema 公司提出“代理式业务转型”（ABT）框架，涵盖技术栈、劳动力和成功指标三大支柱。CEO Surojit Chatterjee 认为，ABT 是将 AI 代理整合到组织肌理中，而非简单提升生产力。早期试点显示，AI 代理可加速业务流程 30%-50%，减少低价值工作时间 25%-40%。

MiniMax-M2 系列是一族混合专家语言模型，基于“小激活释放最大现实智能”原则。旗舰 M2 总参数 229.9B，每 token 仅激活 9.8B。模型专为代理部署设计，包含三大组件：代理驱动数据管道、可扩展的代理原生强化学习系统 Forge，以及支持自我进化的最新检查点 M2.7。

M2.7 能自主调试训练运行并修改自身框架。该系列在代理编码、深度搜索、办公任务和推理基准上达到前沿水平，以极小激活参数实现了高性能。