План Microsoft щодо покращення інтернету за допомогою ШІ вже зіткнувся з прикрою проблемою безпеки

План Microsoft щодо покращення інтернету за допомогою ШІ вже зіткнувся з прикрою проблемою безпеки

Дослідники виявили критичну уразливість у новому протоколі NLWeb, про який Microsoft говорила лише кілька місяців тому на конференції Build. Цей протокол має стати “HTML для Агентного вебу”, пропонуючи можливості пошуку, подібні до ChatGPT, для будь-якого веб-сайту чи програми. Виявлення цієї неприємної уразливості сталося на ранніх етапах впровадження NLWeb з клієнтами, такими як Shopify, Snowflake та TripAdvisor.

Уразливість дозволяє віддаленим користувачам читати конфіденційні файли, включаючи файли конфігурації системи і навіть ключі API OpenAI або Gemini. Що ще гірше – це класична уразливість “перетворення шляху”, що означає, що її легко експлуатувати, просто відвідавши некоректне посилання. Microsoft виправила цю уразливість, але це викликає запитання щодо того, як щось таке базове не було виявлено під час масштабних зусиль Microsoft щодо посилення безпеки.

“Цей випадок є важливим нагадуванням про те, що коли ми створюємо нові AI-системи, ми повинні переоцінити вплив класичних уразливостей, які тепер можуть загрожувати не лише серверам, а й ‘мозку’ самих AI-агентів”, – зазначає Аонан Гуан, один із дослідників безпеки, який доповів про уразливість Microsoft (разом із Лейом Вангом). Гуан є старшим інженером з безпеки у Wyze, проте це дослідження було проведено незалежно.

Гуан і Ванг повідомили про уразливість Microsoft 28 травня, всього через кілька тижнів після представлення NLWeb. Microsoft випустила виправлення 1 липня, але не надала CVE для цієї проблеми — індустріального стандарту для класифікації уразливостей. Дослідники безпеки закликають Microsoft видати CVE, але компанія неохоче йде на це. Наявність CVE сповістила б більше людей про виправлення та дозволила б краще відстежувати проблему, навіть якщо NLWeb ще не отримав широкого використання.

“Цю проблему було відповідально доповідано, і ми оновили відкритий репозиторій”, – заявив представник Microsoft Бен Хоуп. “Microsoft не використовує вражений код у жодному з наших продуктів. Клієнти, які користуються репозиторієм, автоматично отримують захист”.

Гуан підкреслює, що користувачі NLWeb “повинні завантажити та використовувати нову версію, щоб усунути цю уразливість”, інакше будь-яка публічна версія NLWeb “залишається вразливою для неавтентифікованого читання .env файлів, що містять ключі API”.

Хоча витік файлу .env у веб-додатку є серйозною проблемою, Гуан стверджує, що це “катастрофічно” для AI-агента. “Ці файли містять ключі API для LLM, таких як GPT-4, які є когнітивним двигуном агента”, – говорить Гуан. “Зловмисник не лише краде облікові дані; він забирає можливість агента мислити, міркувати та діяти, що може призвести до значних фінансових втрат через зловживання API або створення шкідливого клону”.

Microsoft також активно працює над нативною підтримкою Протоколу контексту моделі (MCP) у Windows, незважаючи на застереження дослідників безпеки щодо ризиків MCP останніми місяцями. Якщо припустити, що уразливість NLWeb є показовою, Microsoft необхідно буде вжити додаткових заходів для збереження балансу між швидким впровадженням нових AI-функцій і дотриманням головного пріоритету — безпеки.