漏洞总结:Cross-Origin Token Theft via Wildcard CORS + Unauthenticated Token Endpoint 漏洞概述 这是一个组合漏洞(Chained Attack),利用了两个独立的安全弱点: 1. 通配符 CORS 配置:服务器配置了 ,允许任何来源的跨域请求。 2. 未认证的 Token 接口: 接口没有进行身份验证,直接返回用户的 Copilot 访问令牌。 攻击者可以通过诱导受害者访问恶意网页,利用浏览器的同源策略绕过机制,窃取受害者本地运行的 Copilot API 令牌,进而滥用 API 或窃取使用数据。 影响范围 受影响组件: , 受影响版本:Copilot API 0.7.0 及更早版本 CVSS 评分:9.3 (Critical) 前提条件: 受害者机器上正在运行 Copilot API (默认端口 4141)。 受害者访问了攻击者控制的恶意网页。 修复方案 移除通配符 CORS:不要在生产环境中使用 。应配置为仅允许受信任的域名。 实施身份验证:在 等敏感接口上强制实施身份验证(如 Bearer Token 验证),确保只有合法的客户端才能获取令牌。 概念验证代码 (PoC) 以下是页面中提供的完整交互式 PoC 代码 ( ):