系统:运行中
← 返回所有攻击
INFRASTRUCTURE CRITICAL NEW

Crawl4AI 的 Docker API:当浏览器配置字段变成未认证远程代码执行

2026 年 7 月的一个漏洞,可通过一款流行 LLM 爬虫的请求字段夹带 Chromium 启动参数,从而在主机上执行命令——无需认证,仅一次 HTTP 请求,CVSS 10.0。

2026-07-16 // 5 min affects: crawl4ai, llm-data-pipelines, rag-ingestion, headless-browser-crawlers

这是什么?

Crawl4AI 是一款被广泛使用的开源、面向 LLM 的网页爬虫与抓取工具:用户为其指定网页,它便驱动一个无界面的 Chromium 浏览器,并返回可供 RAG 摄取与智能体工具使用的干净文本。其 Docker API 服务器中一个严重的参数注入漏洞于 2026 年 7 月 6 日 公布(GitHub 公告 GHSA-r253-r9jw-qg44),并在 0.9.0 版本 中修复。问题在于:该 API 接受由请求提供的浏览器配置字段,并将其内容直接传入 Chromium 的启动参数。由于打包的 Docker API 默认不启用任何认证,向一个可访问的实例发送一次 HTTP 请求即足以在主机上执行任意命令——因此被评为最高严重级别 10.0。它属于 7 月初一波评分为 10.0 的远程代码执行漏洞,同期还波及 PraisonAI、Langroid 等,这些框架在缺乏信任边界的情况下执行了由模型或请求提供的输入。

工作原理

该爬虫暴露了 /crawl/crawl/stream/crawl/job 等端点。每个端点都接受一个 browser_config 对象,其中一个成员 extra_args 本意是让运维人员传入额外的 Chromium 参数。在修复之前,调用方放入该列表的任何内容都会进入实际的浏览器启动命令。Chromium 拥有若干可重新定义其如何派生子进程的开关;当被指示通过攻击者指定的二进制文件来启动辅助进程,并跳过其常规的进程沙箱引导时,它便会以容器运行时用户的身份直接执行该命令。0.8.9 版本中的一次部分修复曾加入黑名单,但只覆盖了与代理和 DNS 相关的参数,进程启动类开关仍可被利用。本文不复现任何攻击载荷,重点在于机制本身。该漏洞被归类为参数注入(CWE-88)导致的代码注入(CWE-94),且由于 CVSS 影响范围为”已改变”(Changed),其波及范围可能超出爬虫容器本身。

为何重要

按设计,爬虫处于 LLM 流水线不可信的边缘——它的本职工作就是接触无人可控的内容。这使得一个未认证、可经网络访问的爬虫 API 成为格外诱人的目标:它往往带着出站网络访问权限、云端凭据以及一队待抓取的 URL 运行,恰是攻击者进行数据窃取、横向移动或挖矿所渴望的位置。默认配置让情况雪上加霜。该 Docker 发行版在不启用认证的情况下暴露 API,因此凡是将默认端口(11235)暴露于共享网络或互联网的运维人员,无需任何前置访问即可被利用。这是 AI 基础设施中反复出现的模式:为图方便而假定网络可信的默认设置,却包裹着一个处理敌意输入的组件。有安全公司表示,在漏洞披露后不久便开始追踪相关利用尝试。

防御

请升级到 Crawl4AI 0.9.0 或更高版本。在该版本中,由请求提供的 browser_config.extra_args 会在网络边界以 HTTP 400 被拒绝,认证默认启用,且除非通过 CRAWL4AI_API_TOKEN 设置了有效令牌,服务器只绑定到本地回环地址(127.0.0.1)。若无法立即打补丁,请勿将该 API 端口暴露给不可信网络:用防火墙规则或网络 ACL 加以限制,并将任何远程访问置于强制认证的 TLS 终结反向代理之后。抛开这一具体漏洞,其架构教训适用于任何代表调用方启动子进程的工具:切勿让受请求控制的数据进入某个进程的命令行或启动参数;若参数确需可配置,应显式白名单化你允许的具体开关,而非对已知的恶意项做黑名单;以非特权用户运行爬虫与浏览器负载,置于与网络隔离的沙箱中,且不携带环境云凭据;并将每一个爬虫或智能体配置对象都视为不可信输入,在服务端加以校验。过渡期间监控亦有帮助:检查 API 流量中携带 Chromium 进程启动开关的 extra_args 值,并排查正在运行的 chromium 命令行中是否出现异常的启动器参数。

状态

项目详情
组件Crawl4AI Docker API 服务器(面向 LLM 的网页爬虫)
性质browser_config.extra_args 中的参数注入 → 命令执行
受影响0.9.0 之前的所有版本
修复版本0.9.0(拒绝该字段、默认认证、绑定本地回环)
严重性CVSS 10.0 — AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
披露2026 年 7 月 6 日(公告 GHSA-r253-r9jw-qg44)
参考CVE-2026-57572;相关的 2026 年 7 月 Crawl4AI 修复:CVE-2026-57571(路径穿越 → 文件写入)、CVE-2026-53753(计算字段沙箱逃逸)
利用情况披露后不久即有利用尝试被报告

Sources