Microsofts ambitiösa vision för en AI-driven”agentisk webb”har drabbat ett tidigt och pinsamt säkerhetshinder. Forskare har upptäckt en kritisk sårbarhet i företagets nya NLWEB-protokoll, ett grundläggande stycke av den strategi som avslöjades vid sin byggnad 2025-konferens.
Fel, ett klassiskt banövergångsfel, kan tillåta obehagliga fjärranvändare att enkelt komma åt känsliga systemfiler och Crucial API Keys. First reported in late May by security engineers Aonan Guan and Lei Wang, the issue was patched by Microsoft Den 1 juli.
Emellertid väcker övervakningens enkla karaktär betydande frågor om säkerheten som ligger till grund för företagets snabba tryck i nya AI-gränser. Händelsen sätter en strålkastare på utmaningarna med att säkra en ny generation av autonoma AI-system.
med Catastrophic med catastrophic
avslöjade på Build 2025-konferensen är protokollet utformat för att enkelt tillhandahålla chatgpt-liknande sökfunktioner till alla webbplatser eller appar. VD Satya Nadella beskrev till och med initiativet som att vara besläktat med en”HTML för den agentiska webben”för denna nya era, en vision som redan var utplacerad med tidiga partners som Shopify, Snowflake och TripAdvisor.
Ändå, sårbarheten som dök upp var inte en komplex, roman AI exploit men en klassisk webbsäkerhetsbelag. Enligt en rapport från The Verge , var felet ett enkelt väg traversal, vilket innebär en angripare kan använda en malformad till navigera utanför det att navigera. Detta gjorde det möjligt för dem att läsa känsliga systemkonfigurationsfiler och, kritiskt, API-nycklar för tjänster som OpenAI eller Gemini.
Denna typ av överträdelse är särskilt farlig i AI-sammanhang. Forskarna, Aonan Guan och Lei Wang, fann att bristen kunde avslöja. Env-filer, som ofta lagrar de väsentliga referenser som ansluter en agent till sin underliggande stora språkmodell. As researcher Aonan Guan explained, “these files contain API keys for LLMs like GPT-4, som är agentens kognitiva motor.”
Att stjäla dessa nycklar är inte bara ett dataintrång; Det representerar en grundläggande kompromiss med AI: s kärnfunktion. Guan hävdar att påverkan är”katastrofisk”, säger att”en angripare inte bara stjäl en referens; de stjäl agentens förmåga att tänka, resonera och agera, vilket potentiellt kan leda till massiv ekonomisk förlust från API-missbruk eller skapandet av en skadlig klon.”
Konsekvenserna av en sådan stöld omfattande långt utöver enkel förlust. A malicious actor with control over an agent’s “brain”could potentially use its trusted position to phish for more user data, spread misinformation, or launch more sophisticated attacks within a corporate network, all while appearing as a legitimate process.
Discovery, Disclosure, and a Missing CVE
The security researchers followed standard industry practice by responsibly disclosing the flaw to Microsoft on May 28: e, bara veckor efter NLWEB-protokollet avslöjades offentligt vid Build 2025-konferensen. Microsoft agerade i rapporten, och den 1 juli, det utfärdade en fix till den öppna källan nlweb-förvar på github , patching den kritiska sårbarheten innan det kunde vara mer bredt exploaty. Verge, Microsoft talesman Ben Hope bekräftade företagets handlingar och konstaterade:”Det här problemet rapporterades på ett ansvarsfullt sätt och vi har uppdaterat det öppna källkodsförvaret.”Företaget försökte också begränsa den upplevda sprängradie för bristen och tilllade noggrant att”Microsoft inte använder den påverkade koden i någon av våra produkter. Kunder som använder förvaret är automatiskt skyddade.”
Medan detta försäkrar användarna av Microsofts kommersiella programvara, placerar det ansvaret på axlarna automatiskt med hjälp av öppnaren som använder den öppna koden för att säkerställa att de har använt det,
Frånvaron av en CVE är mer än en processuell fråga. För stora företag är CVE-identifierare avgörande för automatiserad sårbarhetsskanning och patchhanteringssystem. Utan en kan NLWEB-bristen förbli osynlig för de mycket säkerhetsverktyg som är utformade för att skydda företagsnätverk.
Detta lämnar tidiga adoptörer av open source-koden omedvetet exponerad, eftersom Guan noterade att någon offentliggjord NLWEB-distribution”förblir sårbar”såvida inte utvecklare manuellt”drar och vender en ny byggnad för att eliminera.”Detta beslut från Microsoft kommer mitt i en bredare konversation om företagets utvecklingssårbarhet disclosure praxis Ett test för Microsofts nya säkerhetsfokus
Denna händelse fungerar som ett kritiskt test för Microsofts mycket publicerade nya fokus på säkerhet. Tidpunkten är särskilt spetsig, efter ett nyligen företagsomfattande mandat att prioritera säkerhet framför allt annat-ett drag som till och med band verkställande ersättning till säkerhetsmål. För att en grundläggande brist ska glida igenom i ett flaggskepp AI-projekt så snart efter detta löfte är ett betydande bakslag. NLWEB-protokollet är nära besläktat med modellens kontextprotokoll (MCP), en annan teknik Microsoft är förkämpande för att möjliggöra AI-agenter. Säkerhetsforskare har redan varnat för de potentiella riskerna för MCP och framhäver hur dessa sammankopplade system kan skapa nya attackvektorer. Dessa problem är inte teoretiska. AI-agenter i produkter som SharePoint Copilot kan manipuleras för att läcka känslig data. g Artner har förutspått att sådana ai-agent är att vara bakom en kvartalsutbrott av alla av 20-er. Medan Microsoft bygger verktyg som Microsoft Entra Agent ID för att säkra agenter, fortfarande, understryker NLWEB-sårbarheten en grundläggande spänning. När företaget tävlar för att bygga den agentiska webben måste det bevisa att grunden är tillräckligt säkra för att lita på den autonoma kraften som dessa nya AI-system lovar.
