Сегодня 31 августа 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Попытка Microsoft переосмыслить интернет с помощью ИИ натолкнулась на брешь в безопасности протокола NLWeb

Microsoft обнаружила и устранила критическую уязвимость в своём новом открытом протоколе NLWeb, разработанном для интеграции систем искусственного интеллекта в сайты и веб-приложения, и анонсированном на конференции Build несколько месяцев назад. Уязвимость, обнаруженная исследователями по безопасности Аонаном Гуанем (Aonan Guan) и Лэй Ваном (Lei Wang), позволяла удалённым пользователям без аутентификации получать доступ к конфиденциальным файлам, включая системные конфигурации и API-ключи к OpenAI и Gemini.

 Источник изображения: AI

Источник изображения: AI

Уязвимость основана на классической ошибке path traversal, также известной как обход каталога. Для её эксплуатации достаточно просто перейти по специально сформированному URL. Хотя исправление было выпущено 1 июля, Microsoft до сих пор не присвоила проблеме идентификатор CVE, что является стандартной практикой в индустрии для отслеживания уязвимостей. При этом, как пишет The Verge, исследователи неоднократно призывали компанию опубликовать CVE, подчёркивая, что это позволило бы разработчикам быстрее и надёжнее отреагировать на угрозу, особенно учитывая, что протокол NLWeb пока не получил широкого распространения.

Гуань, старший инженер по облачной безопасности в компании Wyze, который проводил исследование независимо от своей основной работы, отметил, что утечка файла .env в традиционных веб-приложениях в любом случае представляет серьёзную опасность, но в случае с ИИ-агентами последствия становятся катастрофическими. По его словам, такие файлы содержат ключи доступа к языковым моделям, включая GPT-4, которые формируют «когнитивный механизм» агента, и их компрометация означает, что злоумышленник может не просто украсть учётные данные, но и подменить или клонировать поведение ИИ, что чревато масштабным финансовым ущербом из-за несанкционированного использования API-интерфейса.

Представитель Microsoft Бен Хоуп (Ben Hope) заявил, что компания оперативно исправила проблему в открытом репозитории. По его словам, сама Microsoft не использует уязвимый код в своих продуктах, а клиенты, применяющие репозиторий, автоматически получат защиту после обновления. Тем не менее, Гуань предупредил, что разработчики, использующие NLWeb, обязаны самостоятельно обновить сборку, иначе любое публичное развёртывание останется подверженным атакам.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Meta может начать использовать ИИ-модели Google и OpenAI в своих приложениях 42 мин.
Белый дом приказал вернуть ИИ-бота xAI Grok «как можно скорее» 3 ч.
Команда специалистов Meta по ИИ, на которую Цукерберг потратил миллиарды долларов, уже трещит по швам 4 ч.
Новая статья: Is This Seat Taken? — все когда-нибудь сядут. Рецензия 12 ч.
Meta без спроса заполонила свои соцсети ИИ-двойниками Тейлор Свифт, Скарлетт Йоханссон и других знаменитостей 18 ч.
Стартап Илона Маска обвинил бывшего сотрудника в краже секретов для OpenAI 21 ч.
xAI Илона Маска представила ИИ для программирования, который отвечает мгновенно 22 ч.
Тестирование крупного обновления Windows 11 25H2 вышло на финишный этап 24 ч.
ЕС всё же оштрафует Google за антиконкурентное поведение, но наказание будет скромным 30-08 10:43
Meta исправила методику обучения ИИ после скандала с неуместными разговорами с подростками 30-08 10:23
SK hynix серьёзно приблизилась к Samsung по величине выручки на рынке NAND во втором квартале 3 ч.
Samsung готова усилить собственные разработки ИИ-моделями с открытым исходным кодом 3 ч.
Samsung добавила ИИ-помощника Microsoft Copilot в свои новые телевизоры 4 ч.
Доля электромобилей на рынке Китая достигла 31 %, а с учётом гибридов перевалила за 50 % 4 ч.
В блистающих останках умирающей звезды «Джеймс Уэбб» увидел, как могла зарождаться Земля 15 ч.
Nvidia захватила почти четверть рынка GPU для ПК — лидирует Intel, а доля AMD сжалась до 14 % 19 ч.
Realme не будет выпускать складные смартфоны, а сделает ставку на флагманы и пауэрбанки 24 ч.
Китайские учёные создали «всечастотный» чип для 6G — 100 Гбит/с почти в любых условиях 24 ч.
Intel избавилась от части обязательств перед США по «Закону о чипах» 30-08 07:53
Huawei объявила о полной победе над санкциями США и нацелилась на лидерство в ИИ 30-08 07:24