기술 설명
Mem0 self-hosted server (0.2.8 버전 이하, commit ae7f406에서 수정됨)의 POST /configure 엔드포인트는 글로벌 LLM 제공자 및 임베더 구성(예: 모든 메모리 작업에 사용할 AI 제공자 및 모델)을 수정하며 JWT 또는 X-API-Key를 통해 인증을 확인하지만 호출자가 관리자 범위를 가지고 있는지 검증하지 않습니다. 따라서 모든 인증된 저권한 사용자는 글로벌 LLM 또는 임베더 구성을 덮어쓸 수 있으므로, 향후 모든 메모리 작업을 공격자 제어 모델 엔드포인트 또는 임베딩 제공자로 리다이렉트하여 데이터 유출 또는 에이전트 메모리 컨텍스트 조작을 가능하게 합니다.
공격 경로
인증된 공격자(모든 API 키 보유자)가 공격자 제어 LLM 제공자 설정과 함께 /configure에 POST를 보냅니다. 그 이후 Mem0 서버를 통한 모든 메모리 쓰기 및 읽기는 공격자의 엔드포인트를 사용하여 저장된 에이전트 메모리를 노출하고 향후 에이전트 추론을 손상시킬 수 있습니다.
영향받는 시스템
Mem0 self-hosted server ≤0.2.8. Mem0은 LLM 에이전트의 장기 메모리 계층으로 널리 사용되므로, 이 구성이 손상되면 지속적인 컨텍스트를 위해 이에 의존하는 모든 에이전트에 영향을 미칩니다.
완화 방안
Mem0를 commit ae7f406 이상으로 업그레이드하십시오(/configure에 역할 기반 권한 부여를 추가하는 수정 사항). API 키 발급을 신뢰할 수 있는 주체로 제한하고, Mem0 API 키를 보유한 사용자를 감사하며, /configure 액세스를 관리자 호스트로만 제한하는 네트워크 수준의 컨트롤을 추가하십시오.