漏洞总结:smythos sdk <= 0.0.15 凭据泄露 (CVE-200) 漏洞概述 在 中存在一个不安全的凭据回退机制。如果 SDK 被初始化时使用了攻击者控制的 且未提供凭据,框架会自动附加系统的全局 Vault Token(例如 OpenAI 或 Anthropic 的密钥),并将其直接发送给攻击者的服务器。 影响范围 受影响组件: (版本 <= 0.0.15) 受影响文件: 受影响场景: 任何多租户平台集成 且允许用户定义自定义 的情况。 后果: 导致敏感信息(API 密钥)泄露给未授权用户,可能导致严重的财务损失,并为更深层的组织破坏提供跳板。 修复方案 升级 至修复版本(具体版本号未在截图中显示,建议检查官方更新日志)。 避免在初始化 SDK 时使用攻击者可控制的 。 确保在初始化 SDK 时提供明确的凭据,避免触发不安全的回退机制。 POC 代码