Сегодня 07 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Попытка Microsoft переосмыслить интернет с помощью ИИ натолкнулась на брешь в безопасности протокола NLWeb

Microsoft обнаружила и устранила критическую уязвимость в своём новом открытом протоколе NLWeb, разработанном для интеграции систем искусственного интеллекта в сайты и веб-приложения, и анонсированном на конференции Build несколько месяцев назад. Уязвимость, обнаруженная исследователями по безопасности Аонаном Гуанем (Aonan Guan) и Лэй Ваном (Lei Wang), позволяла удалённым пользователям без аутентификации получать доступ к конфиденциальным файлам, включая системные конфигурации и API-ключи к OpenAI и Gemini.

 Источник изображения: AI

Источник изображения: AI

Уязвимость основана на классической ошибке path traversal, также известной как обход каталога. Для её эксплуатации достаточно просто перейти по специально сформированному URL. Хотя исправление было выпущено 1 июля, Microsoft до сих пор не присвоила проблеме идентификатор CVE, что является стандартной практикой в индустрии для отслеживания уязвимостей. При этом, как пишет The Verge, исследователи неоднократно призывали компанию опубликовать CVE, подчёркивая, что это позволило бы разработчикам быстрее и надёжнее отреагировать на угрозу, особенно учитывая, что протокол NLWeb пока не получил широкого распространения.

Гуань, старший инженер по облачной безопасности в компании Wyze, который проводил исследование независимо от своей основной работы, отметил, что утечка файла .env в традиционных веб-приложениях в любом случае представляет серьёзную опасность, но в случае с ИИ-агентами последствия становятся катастрофическими. По его словам, такие файлы содержат ключи доступа к языковым моделям, включая GPT-4, которые формируют «когнитивный механизм» агента, и их компрометация означает, что злоумышленник может не просто украсть учётные данные, но и подменить или клонировать поведение ИИ, что чревато масштабным финансовым ущербом из-за несанкционированного использования API-интерфейса.

Представитель Microsoft Бен Хоуп (Ben Hope) заявил, что компания оперативно исправила проблему в открытом репозитории. По его словам, сама Microsoft не использует уязвимый код в своих продуктах, а клиенты, применяющие репозиторий, автоматически получат защиту после обновления. Тем не менее, Гуань предупредил, что разработчики, использующие NLWeb, обязаны самостоятельно обновить сборку, иначе любое публичное развёртывание останется подверженным атакам.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Microsoft начала тестировать функцию Cloud Rebuild — облачное восстановление засбоившей Windows 11 25 мин.
Американские компании массово переходят на китайский ИИ — решения OpenAI и Anthropic стали слишком дороги 26 мин.
Microsoft продлила выпуск «горячих» обновлений для Windows Server 2022 до октября 2027 года 3 ч.
Claude тайно научился «думать про себя» — исследователи Anthropic сами удивились находке 3 ч.
ИИ перестали считать угрозой для миллионов рабочих мест — но увольнения всё равно продолжаются 4 ч.
«Базис» выпустил версию платформы Basis Digital Energy 1.7 5 ч.
Инсайдер раскрыл, чего ждать от ремейка Splinter Cell — переосмысление знакового стелс-экшена Ubisoft в «крайне хрупком состоянии» 6 ч.
Xbox рассчитывала к 2026 году достичь 77 миллионов подписчиков Game Pass, но с треском провалилась 6 ч.
Apple и Epic Games убедили суд приостановить разбирательство по поводу App Store 7 ч.
Несмотря на запрет Пентагона, власти США используют Anthropic Mythos для поиска уязвимостей в правительственном ПО 7 ч.
Бюджетный смартфон Nothing Phone (4b) представлен официально по цене €329 22 мин.
Представлены беспроводные наушники Nothing Ear (3a) с 32 Мбайт памяти, смарт-функциями и активным шумоподавлением за €99 22 мин.
Акции SpaceX вошли в индекс Nasdaq 100 — аналитики рекомендуют их к покупке почти единогласно 24 мин.
Anthropic потратит $19 млрд на аренду у TeraWulf ЦОД Jusitified Data в Кентукки 30 мин.
Подорожавшая память урезала скидки: крупнейшая распродажа в Китае обернулась падением продаж смартфонов на 13 % 3 ч.
Строительство новых дата-центров в России рухнет до минимума за семь лет — несмотря на бум ИИ 3 ч.
В России впервые официально подняли в воздух дрон с человеком на борту 5 ч.
Минцифры РФ предложило предупреждать абонентов о массовых обзвонах и ограничить детские SIM-карты 5 ч.
Sugon создала китайский аналог NVIDIA InfiniBand NDR — интерконнект ScaleFabric 5 ч.
Китайские компании готовы отказаться от Nvidia в пользу местных ИИ-чипов — на них уйдёт до половины бюджета 7 ч.