La visione ambiziosa di Microsoft per un”Web agente”basato sull’intelligenza artificiale ha colpito un ostacolo di sicurezza in anticipo e imbarazzante. I ricercatori hanno scoperto una vulnerabilità critica nel nuovo protocollo NLWEB dell’azienda, un pezzo fondamentale della strategia presentata alla sua conferenza Build 2025.
Il difetto, un classico errore di attraversamento del percorso, potrebbe consentire agli utenti remoti non autenticati di accedere facilmente a file di sistema sensibili e chiavi API cruciali. First reported in late May by security engineers Aonan Guan and Lei Wang, the issue was patched by Microsoft Il 1 ° luglio.
Tuttavia, la natura semplice della supervisione solleva domande significative sulla sicurezza alla base della rapida spinta dell’azienda in nuove frontiere AI. L’incidente mette in evidenza le sfide di garantire una nuova generazione di sistemi AI autonomi.
un semplice flaw con catastrofic
Il protocollo NLWeb è stato introdotto come una pietra miliare della grande strategia di Microsoft per un”Web agente aperto”, un futuro in cui gli agenti di intelligenza artificiale possono interagire autonomamente, prendere decisioni ed svolgere compiti. svelato alla conferenza build 2025 , il protocollo è progettato per fornire facilmente capacità di ricerca a qualsiasi sito Web o app. Il CEO Satya Nadella ha persino descritto l’iniziativa come simile a un”HTML per la rete agente”per questa nuova era, una visione già schierata con primi partner come Shopify, Snowflake e TripAdvisor.
Eppure, la vulnerabilità che emergeva non era una complessa, una novità di sfruttamento dell’AI ma un errore di sicurezza classico che minde una visione ambiziosa. Secondo un rapporto diretto da parte del Verge , il falso è stato un semplice errore di percorso, il che significa che un attaccante potrebbe usare un URL malformati per navigare diretto. Ciò ha permesso loro di leggere file di configurazione del sistema sensibili e, criticamente, tasti API per servizi come OpenAI o Gemini.
Questo tipo di violazione è particolarmente pericoloso in un contesto AI. I ricercatori, Aonan Guan e Lei Wang, hanno scoperto che il difetto poteva esporre file.env, che spesso archiviano le credenziali essenziali che collegano un agente al suo modello linguistico di grandi dimensioni sottostanti. Come ricercatore aonan ha esploso
rubare queste chiavi non è solo una violazione dei dati; Rappresenta un compromesso fondamentale della funzione principale dell’IA. Guan sostiene che l’impatto è”catastrofico”, affermando che”un aggressore non ruba solo una credenziale; rubano la capacità dell’agente di pensare, ragionare e agire, portando potenzialmente a enormi perdite finanziarie da abuso di API o alla creazione di un clone dannoso.”
Le conseguenze di tale furto si estendono molto oltre perdite finanziarie. Un attore dannoso con controllo sul”cervello”di un agente potrebbe potenzialmente usare la sua posizione di fiducia per Phish per più dati degli utenti, diffondere disinformazione o lanciare attacchi più sofisticati all’interno di una rete aziendale, il tutto mentre appare come un processo legittimo. 28, poche settimane dopo che il protocollo NLWeb è stato presentato pubblicamente alla conferenza Build 2025. Microsoft ha agito sul rapporto e il 1 ° luglio ha emesso una soluzione al repository nlweb open-source. Verge, il portavoce di Microsoft Ben Hope ha confermato le azioni dell’azienda, affermando:”Questo problema è stato riportato in modo responsabile e abbiamo aggiornato il repository open source”. La società ha anche cercato di limitare il raggio di esplosione percepito del difetto, aggiungendo attentamente che”Microsoft non utilizza il codice colpito in nessuno dei nostri prodotti. I clienti che utilizzano il repository sono automaticamente protetti.”
mentre questo rassicura gli utenti del software commerciale di Microsoft, mette la responsabilità a livello di responsabilità a livello di responsabilità nonostante la Cowney nonostante la Coun. Finora Microsoft ha rifiutato di emettere un identificatore CVE (vulnerabilità ed esposizioni comuni) per il difetto, una mossa che ha attirato critiche. Un CVE è un metodo standard del settore per catalogare e monitorare le vulnerabilità e la sua assenza rende significativamente più difficile per le organizzazioni tenere traccia del problema attraverso sistemi automatizzati. Secondo quanto riferito, i ricercatori hanno spinto Microsoft a emettere un CVE per garantire una consapevolezza più ampia e consentire alla comunità di rintracciarla più da vicino.
L’assenza di un CVE è più che una questione procedurale. Per le grandi imprese, gli identificatori CVE sono cruciali per i sistemi automatizzati di scansione e gestione delle patch di vulnerabilità. Senza uno, il difetto di NLWeb può rimanere invisibile agli strumenti di sicurezza progettati per proteggere le reti aziendali.
Questo lascia i primi ad adottare il codice open source in modo inconsapevolmente esposto, come ha notato Guan notato che qualsiasi deposito NLWeb rivolto”rimane vulnerabile”a meno che gli sviluppatori”tirano manualmente e vendono una nuova versione di costruzione per eliminare il flaw”. Questa decisione di Microsoft arriva in mezzo a più ampia conversazioni in evoluzione della società di divulgazione della vulnerabilità
Un test per il nuovo focus di sicurezza di Microsoft
Questo incidente funge da test critico per la nuova attenzione altamente pubblicizzata di Microsoft sulla sicurezza. I tempi sono particolarmente indicati, a seguito di un recente mandato a livello aziendale per dare la priorità alla sicurezza sopra ogni altra cosa, una mossa che ha persino legato il risarcimento esecutivo agli obiettivi di sicurezza. Affinché un difetto fondamentale scivoli in un progetto di AI di punta così presto dopo che questo impegno è una battuta d’arresto significativa.
Il protocollo NLWeb è strettamente correlato al protocollo di contesto del modello (MCP), un’altra tecnologia Microsoft sta sostenendo per abilitare gli agenti AI. I ricercatori della sicurezza hanno già avvertito i potenziali rischi di MCP, evidenziando come questi sistemi interconnessi potrebbero creare nuovi vettori di attacco.
Queste preoccupazioni non sono teoriche. Gli agenti AI in prodotti come SharePoint Copilot potrebbero essere manipolati per perdere dati sensibili. g Artner ha previsto che tale abuso di agente AI sarà dietro un quartiere di tutte le brealle di Enterprise entro 2028 .
Mentre Microsoft sta costruendo strumenti come l’ID agente Microsoft ENTRA per garantire gli agenti, tuttavia, la vulnerabilità NLWeb sottolinea una tensione fondamentale. Mentre l’azienda corre per costruire il Web agente, deve dimostrare che le basi sono abbastanza sicure da essere fidati del potere autonomo che promettono questi nuovi sistemi di intelligenza artificiale.
