Сегодня 13 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Попытка Microsoft переосмыслить интернет с помощью ИИ натолкнулась на брешь в безопасности протокола NLWeb

Microsoft обнаружила и устранила критическую уязвимость в своём новом открытом протоколе NLWeb, разработанном для интеграции систем искусственного интеллекта в сайты и веб-приложения, и анонсированном на конференции Build несколько месяцев назад. Уязвимость, обнаруженная исследователями по безопасности Аонаном Гуанем (Aonan Guan) и Лэй Ваном (Lei Wang), позволяла удалённым пользователям без аутентификации получать доступ к конфиденциальным файлам, включая системные конфигурации и API-ключи к OpenAI и Gemini.

 Источник изображения: AI

Источник изображения: AI

Уязвимость основана на классической ошибке path traversal, также известной как обход каталога. Для её эксплуатации достаточно просто перейти по специально сформированному URL. Хотя исправление было выпущено 1 июля, Microsoft до сих пор не присвоила проблеме идентификатор CVE, что является стандартной практикой в индустрии для отслеживания уязвимостей. При этом, как пишет The Verge, исследователи неоднократно призывали компанию опубликовать CVE, подчёркивая, что это позволило бы разработчикам быстрее и надёжнее отреагировать на угрозу, особенно учитывая, что протокол NLWeb пока не получил широкого распространения.

Гуань, старший инженер по облачной безопасности в компании Wyze, который проводил исследование независимо от своей основной работы, отметил, что утечка файла .env в традиционных веб-приложениях в любом случае представляет серьёзную опасность, но в случае с ИИ-агентами последствия становятся катастрофическими. По его словам, такие файлы содержат ключи доступа к языковым моделям, включая GPT-4, которые формируют «когнитивный механизм» агента, и их компрометация означает, что злоумышленник может не просто украсть учётные данные, но и подменить или клонировать поведение ИИ, что чревато масштабным финансовым ущербом из-за несанкционированного использования API-интерфейса.

Представитель Microsoft Бен Хоуп (Ben Hope) заявил, что компания оперативно исправила проблему в открытом репозитории. По его словам, сама Microsoft не использует уязвимый код в своих продуктах, а клиенты, применяющие репозиторий, автоматически получат защиту после обновления. Тем не менее, Гуань предупредил, что разработчики, использующие NLWeb, обязаны самостоятельно обновить сборку, иначе любое публичное развёртывание останется подверженным атакам.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Российский ответ «Готике» почти готов к премьере — Of Ash and Steel получила дату релиза и демоверсию в Steam 27 мин.
Календарь релизов — 13–19 октября: Steam Next Fest, Keeper, Ball x Pit и Pokémon Legends: Z-A 2 ч.
Отправиться в жуткое кооперативное приключение Reanimal от создателей Little Nightmares можно уже сейчас — в Steam вышла демоверсия 2 ч.
Лавкрафтианский хоррор-шутер Beneath не заставит себя долго ждать — новый трейлер, дата выхода и демоверсия в Steam 3 ч.
ИИ на слуху, но не в деле — нейросети заняли только 1 % интернет-активности 4 ч.
В Microsoft Defender нашли давние уязвимости, позволяющие обойти аутентификацию и загружать вредоносные файлы 5 ч.
AMD FSR 4, улучшения графики и оптимизации: для Black Myth: Wukong вышел первый за полгода новый патч 6 ч.
Журналисты показали, как волшебное приключение Everwild от авторов Sea of Thieves выглядело незадолго до отмены 6 ч.
OpenAI определила эпоху ИИ и стала уникальной компанией в истории Кремниевой долины 7 ч.
xAI будет создавать виртуальные миры для игр и обучения роботов 13 ч.