Microsoft виявила критичну вразливість у новому протоколі NLWeb, про який було багато сказано кілька місяців тому на заході Build. Цей протокол має стати “HTML для агентного вебу”, надаючи можливість пошуку, подібного до ChatGPT, для будь-якого вебсайту або програми. Виявлення цього недоліку безпеки сталося на етапі впровадження NLWeb серед таких клієнтів, як Shopify, Snowlake і TripAdvisor.
Вразливість та її наслідки
Ця вразливість дозволяє будь-яким віддаленим користувачам читати чутливі файли, включаючи конфігураційні файли системи і навіть ключі API OpenAI або Gemini. Що ще гірше, це класична вразливість траєкторії, яка легко експлуатується, адже достатньо просто перейти за неправильно сформованим URL. Microsoft усунула цю помилку, але виникають питання, як така базова проблема могла залишитися непоміченої в контексті нових зусиль компанії щодо забезпечення безпеки.
Коментарі експертів
“Аналіз цього випадку служить важливим нагадуванням про те, що при створенні нових систем на базі штучного інтелекту необхідно повторно оцінити вплив класичних вразливостей, які тепер можуть загрожувати не тільки серверам, але й ‘мозку’ самих агентів штучного інтелекту,” зазначає Аонав Гуан, один із дослідників безпеки, який повідомив Microsoft про цю вразливість. Гуан є старшим інженером з безпеки в Wyze, але це дослідження було проведене незалежно.
Сповіщення Microsoft
Гуан і Ванг повідомили про вразливість Microsoft 28 травня, всього через кілька тижнів після презентації NLWeb. Microsoft випустила виправлення 1 липня, але не надала Оцінки вразливостей (CVE) для цієї проблеми — промислового стандарту для класифікації вразливостей. Дослідники безпеки закликали Microsoft видати CVE, але компанія відмовилася. Наявність CVE могла б привернути увагу до виправлення і дозволити користувачам уважніше стежити за ситуацією, навіть якщо NLWeb ще не став широко використовуваним.
Реакція Microsoft
“Цю проблему було відповідально повідомлено, і ми оновили відкритий репозиторій,” сказав представник Microsoft Бен Хоуп у своїй заяві. “Microsoft не використовує вразливий код у жодному з наших продуктів. Клієнти, які користуються репозиторієм, автоматично захищені.”
Рекомендації для користувачів
Гуан зазначає, що користувачі NLWeb “повинні отримати та реалізувати нову версію для усунення вразливості”, інакше будь-яке публічне впровадження NLWeb “залишається вразливим до неавторизованого доступу до .env файлів, що містять ключі API.”
Потенційні ризики
Хоча витік .env файлу у веб-додатку є серйозною проблемою, Гуан стверджує, що це “катастрофічно” для агента штучного інтелекту. “Ці файли містять ключі API для LLM, таких як GPT-4, які є когнітивним двигуном агента,” підкреслює Гуан. “Зловмисник не просто викрадає облікові дані; він викрадає здатність агента мислити, міркувати і діяти, що в потенціалі може призвести до значних фінансових втрат через зловживання API або створення шкідливого клона.”
Стан справ з новими функціями
Microsoft також продовжує впроваджувати нативну підтримку протоколу Model Context Protocol (MCP) у Windows, хоча останнім часом дослідники безпеки попереджали про ризики, пов’язані з MCP. Якщо ситуація з вразливістю NLWeb є показовою, Microsoft повинна буде ретельно зважувати швидкість впровадження нових функцій штучного інтелекту та пріоритетність безпеки.