Дослідники виявили серйозну вразливість у новому протоколі NLWeb, про який Microsoft багато говорила кілька місяців тому під час конференції Build. Цей протокол має стати “HTML для агентного вебу”, пропонуючи функції пошуку, подібні до ChatGPT, для будь-якого вебсайту чи програми. Виявлення цього ганебного дефекту сталося на початкових етапах впровадження NLWeb для клієнтів, таких як Shopify, Snowflake та TripAdvisor.

Технічні деталі вразливості

Ця вразливість дозволяє будь-яким віддаленим користувачам читати чутливі файли, включаючи файли конфігурації системи і навіть ключі API OpenAI або Gemini. Серйозні проблеми викликані тим, що це класична проблема обходу доступу, що робить її експлуатацію такою ж легкою, як відвідування неправильно сформованого URL. Microsoft вже випустила патч для виправлення цієї помилки, але виникає питання, чому таке базове недолік не було виявлено під час великої уваги Microsoft до безпеки.

“Цей випадок є критичним нагадуванням про те, що, створюючи нові системи, основані на штучному інтелекті, ми повинні переоцінити вплив класичних уразливостей, які тепер можуть загрожувати не лише серверам, а й ‘мозкам’ самих агентів штучного інтелекту,” – зазначає Аонан Гуан, один з дослідників безпеки, які повідомили про цю вразливість Microsoft.

Гуан є старшим інженером з безпеки хмарних технологій у компанії Wyze, але це дослідження виконувалося незалежно.

Історія виявлення вразливості

Гуан та Ван повідомили про цю вразливість Microsoft 28 травня, всього через кілька тижнів після презентації NLWeb. Microsoft випустила виправлення 1 липня, але досі не надала CVE (загальноприйняту класифікацію для вразливостей). Дослідники безпеки закликають Microsoft оприлюднити CVE, але компанія неохоче йде на це. Якщо б CVE було випущено, це б дозволило більше людей дізнатися про виправлення та стежити за ним, навіть якщо NLWeb ще не широко використовується.

“Цю проблему було відповідально доповідовано, і ми оновили відкритий репозиторій,” – говорить речник Microsoft Бен Хоуп у своїй заяві. “Microsoft не використовує уражений код у жодному з наших продуктів. Клієнти, що використовують репозиторій, автоматично захищені.”

Рекомендації для користувачів NLWeb

Гуан зазначає, що користувачі NLWeb “повинні оновити та випустити нову версію, щоб усунути вразливість”, інакше будь-яка публічна версія NLWeb “залишається вразливою до неавтентифікованого зчитування .env файлів, що містять ключі API”.

Наслідки для агентів штучного інтелекту

Хоча витік .env файлу у вебдодатку є досить серйозним, Гуан вважає, що це “катастрофічно” для агентів штучного інтелекту. “Ці файли містять ключі API для LLM, таких як GPT-4, які служать когнітивним механізмом агента,” – додає він. “Зловмисник не просто краде повноваження; він забирає можливість агента думати, міркувати та діяти, що може призвести до значних фінансових втрат через зловживання API або створення злочинних клонів.”

Подальші кроки Microsoft

Тим часом Microsoft продовжує впровадження нативної підтримки Протоколу контексту моделі (MCP) у Windows, незважаючи на попередження дослідників безпеки щодо ризиків MCP. Якщо вразливість NLWeb є прикладом, Microsoft повинна буде ретельно зважити швидкість розгортання нових функцій штучного інтелекту із забезпеченням пріоритетності безпеки.