Ambitna wizja Microsoftu dotycząca „agencyjnej sieci” napędzanej sztucznej inteligencji osiągnęła wczesną i zawstydzającą przeszkodę w zakresie bezpieczeństwa. Naukowcy odkryli krytyczną podatność na nowy protokół NLWEB firmy, fundamentalny kawałek strategii zaprezentowanej na konferencji Build 2025.
wada, klasyczny błąd przechodzenia ścieżki, może pozwolić nieautentyczonymi zdalnym użytkownikom na łatwe dostęp do plików systemowych i kluczowe klucze API. Najpierw
Jednak prosty charakter nadzoru rodzi znaczące pytania dotyczące bezpieczeństwa leżącego u podstaw szybkiego nacisku firmy na nowe granice AI. Ten incydent przedstawia wyzwania związane z zabezpieczeniem nowej generacji autonomicznych systemów AI. Protokół NLWEB został wprowadzony jako kamień węgielny wielkiej strategii Microsoft dla „otwartej sieci agencyjnej”, przyszłości, w której agenci AI mogą autonomicznie wchodzić w interakcje, podejmować decyzje i wykonywać zadania. zaprezentowane na konferencji Build 2025 , protokół został zaprojektowany tak, aby łatwo dostarczyć kaplizny wyszukiwania chatgpt do dowolnej strony internetowej lub aplikacji. Satya Nadella, dyrektor generalny, opisała nawet inicjatywę jako podobną do „HTML for the Agentic Web” w tej nowej erze, wizja jest już rozmieszczona z wczesnymi partnerami, takimi jak Shopify, Snowflake i TripAdvisor. Jednak ta ambitna wizja. . Zgodnie z raportem Verge , wadami był błąd przechodzenia prostego ścieżki, co oznacza, że atak może użyć źle ustawionego URL poza zamierzeniem. Umożliwiło im to odczytanie wrażliwych plików konfiguracyjnych systemu i, krytycznie, klucze API dla usług takich jak Openai lub Gemini. Ten rodzaj naruszenia jest szczególnie niebezpieczny w kontekście AI. Naukowcy, Aonan Guan i Lei Wang, odkryli, że wada mogą ujawnić pliki.env, które często przechowują podstawowe poświadczenia, które łączą agenta z jego podstawowym modelem dużego języka. , jak wyjaśnił badacz Aonan Guan ,„ Te pliki zawierają API KEYS dla LLMS, jakby jak się podobny GPT-4, które są silnikiem poznawczym agenta. “ Kradzież tych klawiszy to nie tylko naruszenie danych; Jest to fundamentalny kompromis podstawowej funkcji AI. Guan twierdzi, że wpływ jest „katastrofalny”, stwierdzając, że „atakujący nie tylko kradnie poświadczenie; kradną zdolność agenta do myślenia, rozumowania i działania, potencjalnie prowadząc do ogromnej straty finansowej z nadużycia API lub stworzenia złośliwego klonu.” Konsekwencje takiej kradzieży daleko poza prostą stratą finansową. Złośliwy aktor z kontrolą nad „mózgiem” agenta może potencjalnie wykorzystać jego zaufaną pozycję do zwiększenia danych użytkowników, rozpowszechniania dezinformacji lub rozpoczęcia bardziej wyrafinowanych ataków w sieci korporacyjnej, a jednocześnie pojawiając się jako legalny proces. Badacze bezpieczeństwa, przeprowadzając standardową praktykę branżową, a także odkrycie FLAW do mikstur. 28 maja, zaledwie kilka tygodni po publicznym zaprezentowaniu protokołu NLWEB na konferencji Build 2025. Microsoft działał w raporcie, a 1 lipca wydał poprawkę do repozytorium NLWEB open-source na github , łatanie krytycznej podatności podatności, zanim może być bardziej powszechnie opracowane przez złośliwe aktorzy. , podczas gdy udaje to użytkownikom komercyjnego oprogramowania Microsoft, pomimo tego, pomimo rozwiązania, pomimo tego, pomimo sytuacji, pomimo tego, że poprawia to, pomimo rozwiązania, umieszcza to odpowiedzialność. Do tej pory Microsoft odmówił wydania identyfikatora CVE (wspólne luki w zabezpieczeniach i ekspozycji) dla wady, ruch, który przyciągnął krytykę. CVE to standardowa branżowa metoda katalogowania i śledzenia luk w zabezpieczeniach, a jego nieobecność sprawia, że organizacje jest znacznie trudniejsze do śledzenia problemu za pośrednictwem automatycznych systemów. Podobno badacze zmusili Microsoft do wydania CVE, aby zapewnić szerszą świadomość i umożliwić społeczności śledzić ją dokładniej. Brak CVE jest czymś więcej niż problemem proceduralnym. W przypadku dużych przedsiębiorstw identyfikatory CVE mają kluczowe znaczenie dla automatycznego skanowania wrażliwości i zarządzania łatkami. Bez jednego wada NLWEB może pozostać niewidoczna dla samych narzędzi bezpieczeństwa zaprojektowanych w celu ochrony sieci korporacyjnych. Pozostawia to wczesnych adoptorów kodeksu open source, jak zauważył Guan, jak zauważył, że każde publiczne wdrożenie NLWEB „pozostaje wrażliwe”, chyba że deweloperzy manatycznie „wyciągają nową wersję kompilacyjną, aby wyeliminować klawisz”. Ta decyzja Microsoft pojawia się wśród szersza rozmowa o rozwiązywaniu praktyki ewolucji w poszukiwaniu podatności spółki , dodając kolejną warstwę incydentu. Ten incydent służy jako krytyczny test dla wysoce nagłośnionego nowego koncentracji Microsoftu na bezpieczeństwie. Czas jest szczególnie wskazany, zgodnie z niedawnym mandatem całej firmy do priorytetu bezpieczeństwa przede wszystkim-ruch, który nawet związał rekompensatę kierowniczą z celami bezpieczeństwa. Aby podstawowa wada prześlizgnąć się w flagowym projekcie AI tak szybko po tym, jak ta przysięga jest znaczącym niepowodzeniem. Protokół NLWEB jest ściśle związany z protokołem kontekstu modelu (MCP), inna technologia Microsoft popiera, aby umożliwić agentów AI. Badacze bezpieczeństwa ostrzegali już o potencjalnym ryzyku MCP, podkreślając, w jaki sposób te połączone systemy mogą tworzyć nowe wektory ataku. Te obawy nie są teoretyczne. Agenci AI w produktach takich jak SharePoint Copilot można manipulować w celu wycieku danych wrażliwych. g Podczas gdy Microsoft buduje narzędzia, takie jak Microsoft Entra Agent ID, aby zabezpieczyć agentów, nadal podatność na podatność NLWEB podkreśla fundamentalne napięcie. Gdy firma ściga się w celu budowy agencyjnej sieci, musi udowodnić, że fundamenty są wystarczająco bezpieczne, aby zaufać z autonomiczną siłą, które te nowe systemy AI obiecują. proste klawie z catastroficami
Odkrycie, ujawnienie, a także brak CVE
Test nowego koncentracji w zakresie bezpieczeństwa Microsoft