Letta 代码执行漏洞 (CVE-2025-51482)

漏洞介绍：

Letta（原名 MemGPT）是一个开源框架，旨在构建具备长期记忆、上下文管理和高级推理能力的 AI Agent，也支持将这些 Agent 以微服务形式部署为 REST API 服务，可被集成到应用中使用。它提供状态持久化、工具调用、上下文可视化等功能，适用于对话型 AI、自动化流程与记忆驱动应用的场景。

漏洞出现在 Letta 服务端的 run_tool_from_source 接口中，该接口会直接执行用户提交的 Python 源码，原本应通过本地沙箱机制（local sandbox）来限制危险操作，但实际实现存在缺陷，导致攻击者可绕过限制并在宿主环境中执行任意代码。

漏洞影响：

该接口是 Letta 中提供“工具执行”能力的开放端点，设计用于在 AI Agent 中运行自定义脚本工具。

全球分布图：

漏洞编号：CVE-2025-51482

漏洞等级：高危

受影响版本：已知影响 Letta 0.7.12 版本

漏洞类型：远程代码执行

利用流程：

漏洞复现：

在本地或测试服务器部署 Letta 后，攻击者可直接向 /v1/tools/run 接口发起 POST 请求，并在 source_code 字段中传入自定义 Python 代码。该接口原本用于在 AI Agent 中运行自定义工具，但由于缺乏有效的执行隔离，传入的代码会被 Letta 后端直接调用 Python 解释器执行。利用此缺陷，攻击者可构造包含系统命令（如 id、ls 等）的 payload 并发送至目标接口，从而在服务器上执行任意代码并回显结果，实现对主机的完全控制。整个过程无需身份认证或可在弱权限下触发，对存在公网暴露接口的实例威胁极大。

漏洞验证:

利用 pocx 向目标的/v1/tools/run 接口发送包含模板注入代码的 POST 请求，若响应中回显预期命令执行结果（如 uid=、root、 等），即判断目标存在远程代码执行风险。

和中科技修复建议：

1、限制或屏蔽对 /v1/tools/run 接口的访问，启用严格身份认证和访问控制。

2、尽快升级 Letta 到官方包含漏洞修复的版本，或合并官方补丁自行构建。

3、启用 RESTRICTEDPYTHON_LOCAL_ENABLED=true，使用 RestrictedPython 沙箱和白名单机制限制代码执行权限。

4、降低 Letta 服务运行权限，避免 root 用户运行，并结合容器限制资源和网络权限。