Penjelasan teknis
Pada server Mem0 yang self-hosted (versi hingga 0.2.8, diperbaiki di commit ae7f406), endpoint POST /configure yang memodifikasi konfigurasi global penyedia LLM dan embedder (misalnya, penyedia AI dan model mana yang digunakan untuk semua operasi memori) memverifikasi autentikasi melalui JWT atau X-API-Key tetapi tidak memvalidasi bahwa pemanggil memiliki scope administratif. Pengguna berprivilese rendah yang terauthentikasi dapat menimpa konfigurasi LLM atau embedder global — berpotensi mengalihkan semua operasi memori di masa depan ke endpoint model yang dikontrol penyerang atau penyedia embedding, memungkinkan eksfiltrasi data atau manipulasi konteks memori agen.
Vektor serangan
Penyerang yang terauthentikasi (pemegang kunci API apa pun) mengirimkan POST ke /configure dengan pengaturan penyedia LLM yang dikontrol penyerang. Sejak saat itu, semua penulisan dan pembacaan memori melalui server Mem0 menggunakan endpoint penyerang, mengekspos memori agen yang tersimpan dan berpotensi merusak penalaran agen di masa depan.
Sistem yang terdampak
Server Mem0 self-hosted ≤0.2.8. Mem0 banyak digunakan sebagai lapisan memori jangka panjang untuk agen LLM; mengompromikan konfigurasinya memengaruhi semua agen yang mengandalkannya untuk konteks persisten.
Mitigasi
Tingkatkan Mem0 ke commit ae7f406 atau lebih baru (perbaikan menambahkan otorisasi berbasis peran ke /configure). Batasi penerbitan kunci API untuk principal terpercaya; audit siapa yang memegang kunci API Mem0; tambahkan kontrol tingkat jaringan yang membatasi akses /configure hanya ke host admin.