國立臺灣大學 LiteLLM AI Gateway 無認證暴露

Vulnerability Overview

ZDID: ZD-2026-00391
發信 Vendor: 國立臺灣大學
Title: 國立臺灣大學 LiteLLM AI Gateway 無認證暴露
Introduction: 對外開放且未設定任何 API 金鑰認證，任何人可透過 API 無限制呼叫 Llama 3.1-8B 模型。

處理狀態

目前狀態

公開

Last Update : 2026/04/19

新提交
已審核
已通報
已修補
已複測
公開

處理歷程

2026/03/23 00:05:10 : 新提交 (由 DL56 更新此狀態)
2026/03/25 14:37:11 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/09 16:39:37 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/09 16:39:37 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/09 16:39:37 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/14 11:14:59 : 複測申請中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/16 00:49:18 : 確認已修補 (由 DL56 更新此狀態)
2026/04/19 03:00:13 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2026-00391
通報者：dinlon5566 (DL56)
風險：低
類型：存取控制缺陷 (Broken Access Control)

參考資料

攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料，或連線至高權限使用者的頁面。

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

漏洞說明

LiteLLM Proxy API Gateway 完全對外開放，未設定任何 API Key 認證機制。該服務以 OpenAI 相容格式對外提供大型語言模型推論服務（Llama 3.1-8B Instruct），任何人皆可直接送出推論請求並取得模型回應，無需任何身份驗證。

版本與系統資訊

重現步驟

直接呼叫 /v1/chat/completions，成功執行 LLM 推論：

影響

任何人可無限制使用校內 GPU 算力進行 AI 推論，造成資源耗盡及電費損失。
大量並發請求可能造成 GPU 伺服器過載，影響正常研究使用。
API 未設定 rate limit，可被自動化腳本大量呼叫。

修補建議

1. **立即設定 API 認證**：在 LiteLLM 設定中加入 `LITELLM_MASTER_KEY` 環境變數，所有請求必須帶有 `Authorization: Bearer <key>` Header
2. **限制存取來源**：透過防火牆或 Nginx/Traefik 限制僅允許校內網路（140.112.0.0/16）或 VPN 存取
3. **移除 /health 公開存取**：或限制 `/health` 端點不回傳詳細內部架構資訊
4. **設定速率限制**：在 LiteLLM 或前端 Reverse Proxy 設定每 IP 的請求速率上限
5. **啟用存取日誌**：記錄所有 API 呼叫，以便事後稽核是否有異常使用

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

國立臺灣大學 LiteLLM AI Gateway 無認證暴露 - HITCON ZeroDay

Vulnerability Detail Report