关键信息 概要 漏洞类型: Server-Side Request Forgery (SSRF) 影响版本: - : >= 0.0.26 - : >= 0.0.26 修复版本: - : 1.56.0 - : 1.56.0 摘要: Pydantic AI 的 URL 下载功能存在 SSRF 漏洞,允许攻击者通过消息历史的恶意 URL 访问内部资源和云凭证。 受影响的应用 使用 或 拓展聊天接口。 使用 的 Vercel AI SDK 集成。 使用 或 的 AG-UI 协议集成。 自定义 API 接受用户输入的消息历史。 攻击情景 通过聊天接口提交指向内部资源的文件附件消息。 影响的模型集成 OpenAIChatModel: AudioUrl, DocumentUrl AnthropicModel: DocumentUrl (text/plain) GoogleModel (GLA): 除 YouTube 和 Files API URL 外的所有类型 XaiModel: DocumentUrl BedrockConverseModel: ImageUrl, DocumentUrl, VideoUrl (非 S3 URL) OpenRouterModel: AudioUrl 修复方案 升级到修复版本: 阻止私有/内部 IP 地址、云元数据端点,仅允许 HTTP 和 HTTPS 协议等。 force_download='allow-local' 选项: 在完全信任的内部环境中允许本地访问。 旧版本的解决方法: 使用 过滤 URL。 技术修复详情 引入 模块,包含协议验证、DNS 解析、私有 IP 阻止、云元数据阻止和安全跳转处理等措施。