Các nhà nghiên cứu đã tìm thấy một lỗ hổng quan trọng trong giao thức NLWEB mới, Microsoft đã thực hiện một vấn đề lớn về chỉ vài tháng trước tại Build. Đó là một giao thức được cho là HTML cho Web Agentic, cung cấp tìm kiếm giống như Chats cho bất kỳ trang web hoặc ứng dụng nào. Phát hiện về lỗ hổng bảo mật đáng xấu hổ xuất hiện trong giai đoạn đầu của Microsoft triển khai NLWEB với các khách hàng như Shopify, Snowlake và TripAdvisor.
Lỗ hổng cho phép bất kỳ người dùng từ xa nào đọc các tệp nhạy cảm, bao gồm các tệp cấu hình hệ thống và thậm chí các khóa API Openai hoặc Gemini. Điều tồi tệ hơn là đó là một lỗ hổng đường dẫn cổ điển, có nghĩa là nó dễ dàng khai thác như truy cập một URL dị dạng. Microsoft đã vá lỗi, nhưng nó đặt ra câu hỏi về việc một cái gì đó cơ bản như điều này không được chọn trong trọng tâm mới lớn của Microsoft về bảo mật.
Nghiên cứu trường hợp này đóng vai trò là một lời nhắc nhở quan trọng rằng khi chúng ta xây dựng các hệ thống chạy bằng AI mới, chúng ta phải đánh giá lại tác động của các lỗ hổng cổ điển, hiện có khả năng thỏa hiệp không chỉ máy chủ, mà là ‘bộ não’ của chính các tác nhân AI, Aonan Guan nóimột trong những nhà nghiên cứu bảo mật (cùng với Lei Wang) đã báo cáo lỗ hổng cho Microsoft. Guan là một kỹ sư bảo mật đám mây cao cấp tại Wyze (vâng, Wyze đó) nhưng nghiên cứu này được thực hiện độc lập.
Guan và Wang đã báo cáo lỗ hổng cho Microsoft vào ngày 28 tháng 5, chỉ vài tuần sau khi NLWEB được công bố. Microsoft đã ban hành một bản sửa lỗi vào ngày 1 tháng 7, nhưng đã không ban hành CVE cho vấn đề này – một tiêu chuẩn công nghiệp để phân loại các lỗ hổng. Các nhà nghiên cứu an ninh đã thúc đẩy Microsoft phát hành CVE, nhưng công ty đã miễn cưỡng làm điều đó. Một CVE sẽ cảnh báo nhiều người hơn về sửa chữa và cho phép mọi người theo dõi nó chặt chẽ hơn, ngay cả khi NLWEB chưa được sử dụng rộng rãi.
Vấn đề này đã được báo cáo một cách có trách nhiệm và chúng tôi đã cập nhật kho lưu trữ nguồn mở, người phát ngôn của Microsoft Ben Hope, trong một tuyên bố với Verge. Microsoft Microsoft không sử dụng mã bị ảnh hưởng trong bất kỳ sản phẩm nào của chúng tôi. Khách hàng sử dụng kho lưu trữ được tự động bảo vệ.
Guan nói rằng người dùng NLWEB phải kéo và bán phiên bản bản dựng mới để loại bỏ lỗ hổng, nếu không, bất kỳ triển khai NLWEB nào đối mặt với công khai vẫn dễ bị tổn thương bởi việc đọc các tệp .ENV không được xác thực có chứa các khóa API.
Trong khi rò rỉ một tệp .ENV trong một ứng dụng web là đủ nghiêm trọng, Guan lập luận rằng đó là thảm họa của một tác nhân AI. Các tập tin này chứa các khóa API cho các LLM như GPT-4, là công cụ nhận thức của tác nhân, theo ông Guan. Một kẻ tấn công không chỉ đánh cắp chứng chỉ; họ đánh cắp khả năng suy nghĩ, lý trí và hành động của đại lý, có khả năng dẫn đến tổn thất tài chính lớn từ lạm dụng API hoặc tạo ra một bản sao độc hại.
Microsoft cũng đang tiến lên phía trước với sự hỗ trợ bản địa cho Giao thức bối cảnh mô hình (MCP) trong Windows, tất cả trong khi các nhà nghiên cứu bảo mật có cảnh báo về những rủi ro của MCP trong những tháng gần đây. Nếu lỗ hổng NLWEB là bất cứ điều gì để đi qua, Microsoft sẽ cần phải có một cách tiếp cận cẩn thận thêm để cân bằng tốc độ đưa ra các tính năng AI mới so với việc gắn bó với bảo mật là ưu tiên số một.
Nguồn The Verge