Сегодня 23 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Попытка Microsoft переосмыслить интернет с помощью ИИ натолкнулась на брешь в безопасности протокола NLWeb

Microsoft обнаружила и устранила критическую уязвимость в своём новом открытом протоколе NLWeb, разработанном для интеграции систем искусственного интеллекта в сайты и веб-приложения, и анонсированном на конференции Build несколько месяцев назад. Уязвимость, обнаруженная исследователями по безопасности Аонаном Гуанем (Aonan Guan) и Лэй Ваном (Lei Wang), позволяла удалённым пользователям без аутентификации получать доступ к конфиденциальным файлам, включая системные конфигурации и API-ключи к OpenAI и Gemini.

 Источник изображения: AI

Источник изображения: AI

Уязвимость основана на классической ошибке path traversal, также известной как обход каталога. Для её эксплуатации достаточно просто перейти по специально сформированному URL. Хотя исправление было выпущено 1 июля, Microsoft до сих пор не присвоила проблеме идентификатор CVE, что является стандартной практикой в индустрии для отслеживания уязвимостей. При этом, как пишет The Verge, исследователи неоднократно призывали компанию опубликовать CVE, подчёркивая, что это позволило бы разработчикам быстрее и надёжнее отреагировать на угрозу, особенно учитывая, что протокол NLWeb пока не получил широкого распространения.

Гуань, старший инженер по облачной безопасности в компании Wyze, который проводил исследование независимо от своей основной работы, отметил, что утечка файла .env в традиционных веб-приложениях в любом случае представляет серьёзную опасность, но в случае с ИИ-агентами последствия становятся катастрофическими. По его словам, такие файлы содержат ключи доступа к языковым моделям, включая GPT-4, которые формируют «когнитивный механизм» агента, и их компрометация означает, что злоумышленник может не просто украсть учётные данные, но и подменить или клонировать поведение ИИ, что чревато масштабным финансовым ущербом из-за несанкционированного использования API-интерфейса.

Представитель Microsoft Бен Хоуп (Ben Hope) заявил, что компания оперативно исправила проблему в открытом репозитории. По его словам, сама Microsoft не использует уязвимый код в своих продуктах, а клиенты, применяющие репозиторий, автоматически получат защиту после обновления. Тем не менее, Гуань предупредил, что разработчики, использующие NLWeb, обязаны самостоятельно обновить сборку, иначе любое публичное развёртывание останется подверженным атакам.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Крупнейшие корпорации заливают миллиарды в ИИ, даже не понимая, зачем им это нужно 17 мин.
Трамп на этой неделе объявит, что сделка по TikTok соответствует требованиям закона, но не получит «золотую акцию» 2 ч.
Perplexity запустила ИИ-агента для электронной почты — он будет копаться в Outlook и Gmail за $200 в месяц 11 ч.
Комедийное приключение The Dungeon Experience от автора Paradigm заручилось поддержкой Devolver Digital и получило демоверсию в Steam 13 ч.
Американский TikTok избавят от китайских корней — Oracle с нуля переобучит рекомендательный алгоритм 15 ч.
Konami поинтересовалась, ремейки каких Metal Gear фанаты хотят увидеть после Metal Gear Solid Delta: Snake Eater 16 ч.
Обновление Windows 11 сломало приложения для Blu-ray и цифрового ТВ 16 ч.
Майкл Делл, Ларри Эллисон и Лахлан Мёрдок войдут в группу покупателей американского сегмента TikTok 16 ч.
Журналисты проанализировали, почему всё меньше и меньше игр Xbox выходит на дисках 17 ч.
Навязчивые cookie-баннеры могут исчезнуть — в ЕС поняли, что они неэффективны 17 ч.