技術的な説明
Mem0 self-hosted server(バージョン0.2.8以前、コミットae7f406で修正)では、グローバルLLMプロバイダーとエンベッダー設定を変更するPOST /configureエンドポイント(例えば、すべてのメモリ操作に使用するAIプロバイダーとモデルの指定)がJWTまたはX-API-Keyを介して認証を検証しますが、呼び出し元が管理スコープを持つことを検証していません。任意の認証された低権限ユーザーは、グローバルLLMまたはエンベッダー設定を上書きできるため、すべての将来のメモリ操作を攻撃者が制御するモデルエンドポイントまたはエンベッディングプロバイダーにリダイレクトし、データ流出またはエージェントメモリコンテキストの操作が可能になります。
攻撃経路
認証された攻撃者(任意のAPIキー保有者)が、攻撃者が制御するLLMプロバイダー設定を含むPOSTを/configureに送信します。その時点から、Mem0サーバーを通じたすべてのメモリ書き込みと読み取りは攻撃者のエンドポイントを使用し、保存されたエージェントメモリを露出させ、将来のエージェント推論を破損する可能性があります。
影響を受けるシステム
Mem0 self-hosted server ≤0.2.8。Mem0はLLMエージェントの長期メモリレイヤーとして広く使用されており、その設定を侵害するとそれに依存する永続的なコンテキストを持つすべてのエージェントに影響を与えます。
緩和策
Mem0をコミットae7f406以降にアップグレードします(修正は/configureにロールベースの認可を追加します)。APIキー発行を信頼できるプリンシパルのみに制限し、Mem0 APIキーを保有する人物を監査し、/configureアクセスを管理者ホストのみに制限するネットワークレベルの制御を追加します。