Microsofts ambisiøse visjon for en AI-drevet”agent nett”har truffet et tidlig og pinlig sikkerhetshindring. Forskere har oppdaget en kritisk sårbarhet i selskapets nye NLWEB-protokoll, et grunnleggende stykke av strategien som ble avduket på sin Build 2025-konferanse.
Feilen, en klassisk bane-traversal-feil, kan tillate uauthentiserte eksterne brukere å enkelt få tilgang til sensitive systemfiler og viktige API-nøkler. First Avduket på Build 2025-konferansen , er protokollen designet for å enkelt gi chatgpt-lignende søkefunksjoner til ethvert nettsted eller app. Administrerende direktør Satya Nadella beskrev til og med initiativet som å være i likhet med en”HTML for Agentic Web”for denne nye epoken, en visjon som allerede ble distribuert med tidlige partnere som Shopify, Snowflake og TripAdvisor.
Likevel, den sårbarheten som ikke var en kompleks, roman. Dette tillot dem å lese sensitive systemkonfigurasjonsfiler og kritisk API-nøkler for tjenester som Openai eller Gemini.
Denne typen brudd er spesielt farlig i en AI-sammenheng. Forskerne, Aonan Guan og Lei Wang, fant at feilen kunne eksponere.Env-filer, som ofte lagrer de essensielle legitimasjonene som kobler en agent til den underliggende store språkmodellen.
Å stjele disse tastene er ikke bare et datainnbrudd; Det representerer et grunnleggende kompromiss av AIs kjernefunksjon. Guan hevder at virkningen er”katastrofal”, og sier at”en angriper ikke bare stjeler en legitimasjon; de stjeler agentens evne til å tenke, fornuft og handle, og potensielt føre til massivt økonomisk tap fra API-overgrep eller opprettelsen av en ondsinnet klon.” konsekvensene av et slikt tyveri strekker seg langt utenfor enkelt økonomisk tap. En ondsinnet aktør med kontroll over en agents”hjerne”kan potensielt bruke sin pålitelige posisjon til å phish for mer brukerdata, spre feilinformasjon eller starte mer sofistikerte angrep i et bedriftsnettverk, alt sammen som en legitim prosess. oppdagelse, og en manglende cve utstedt en løsning på open source nlweb repos på det å bli merket med å være mer enn det å bli mer. Microsoft talsperson Ben Hope bekreftet selskapets handlinger, og sa:”Dette problemet ble ansvarlig rapportert og vi har oppdatert open source-depotet.”Selskapet prøvde også å begrense den opplevde eksplosjonsradiusen til feilen, og la nøye til at “Microsoft ikke bruker den påvirkede koden i noen av våre produkter. Kunder som bruker depot Microsoft har så langt avvist å utstede en CVE (vanlige sårbarheter og eksponeringer) identifikator for feilen, et trekk som har trukket kritikk. En CVE er en bransjestandard metode for å katalogisere og spore sårbarheter, og fraværet gjør det betydelig vanskeligere for organisasjoner å spore problemet gjennom automatiserte systemer. Forskerne har angivelig presset Microsoft til å utstede en CVE for å sikre bredere bevissthet og la samfunnet spore den nærmere. Fraværet av en CVE er mer enn et prosessuelt spørsmål. For store foretak er CVE-identifikatorer avgjørende for automatisert sårbarhetsskanning og lappestyringssystemer. Uten en kan NLWEB-feilen forbli usynlig for selve sikkerhetsverktøyene som er designet for å beskytte bedriftsnettverk. Dette etterlater tidlige adoptere av åpen kildekode som ubevisst utsatte, som Guan bemerket at enhver offentlig vendt NLWeb-distribusjon”forblir sårbar”med mindre utviklere manuelt”trekker og vend en ny bygningsversjon til å utnevne sårbar.”Denne beslutningen fra Microsoft kommer midt i en bredere samtale om å gjøre det en annen å gjøre det en annen måte å gjøre det en annen samtale for å gjøre det Denne hendelsen fungerer som en kritisk test for Microsofts høyt publiserte nye fokus på sikkerhet. Tidspunktet er spesielt spiss, etter et nylig bedriftsomfattende mandat til å prioritere sikkerhet fremfor alt annet-et trekk som til og med bandt utøvende kompensasjon til sikkerhetsmål. For en grunnleggende feil å gli gjennom i et flaggskip AI-prosjekt så snart etter dette løftet er et betydelig tilbakeslag. NLWeb-protokollen er nært knyttet til Model Context Protocol (MCP), en annen teknologi Microsoft mester for å muliggjøre AI-agenter. Sikkerhetsforskere har allerede advart om de potensielle risikoene ved MCP, og fremhever hvordan disse sammenkoblede systemene kan skape nye angrepsvektorer. Disse bekymringene er ikke teoretiske. AI-agenter i produkter som SharePoint Copilot kan manipuleres for å lekke sensitive data. g Artner har spådd at et slikt agent vil være å være en quarter quarter quartprise med et slikt. Mens Microsoft bygger verktøy som Microsoft Entra Agent ID for å sikre agenter, understreker NLWeb-sårbarheten en grunnleggende spenning. Når selskapet løper for å bygge Agentic Web, må det bevise at grunnlaget er sikre nok til å stole på med den autonome kraften disse nye AI-systemene løfter. En test for Microsofts nye sikkerhetsfokus