研究人員已經在新的NLWB協議中發現了決定性的安全性脆弱性,幾個月前,微軟在構建中提供了很多交易。它是一項應為“代理Web的HTML”的協議,為任何網站或應用程序提供了CHASGPT研究。令人尷尬的安全缺陷的發現是在Microsoft的早期階段,該階段與Shopify,Snowlake和TripAdvisor等客戶一起出版了NLWB。
該缺陷允許任何用戶讀取敏感文件,包括系統構圖文件以及OpenAI或Gemini API。最糟糕的是,它是經典路徑中的缺陷,這意味著很容易像扭曲的URL訪問一樣利用。微軟已經糾正了缺陷,但提出了有關在新的Microsoft專注於安全性的情況下不採用類似內容的程度的問題。
“該案例研究的決定性提醒,通過建立具有相同敵對因素的新系統,我們必須重新評估經典弱點的效果,這些弱點現在不僅可以放棄服務器,而且可以放棄人工智能因素本身的“大腦”,” 他說他欺騙了一個,一位安全研究人員(與Lei Wang一起)被告知Microsoft的缺陷。 Guan是Wyze的一位出色的雲安全工程師(是的,Wes),但是這項研究是獨立進行的。
Joan和Puang於5月28日在NLWB揭幕後幾周向微軟報告了一個缺陷。微軟於7月1日發布了一項改革,但它沒有為此問題發布CVE,這是對弱點進行分類的行業標準。安全研究人員推動微軟發布CVE,但該公司不願這樣做。 CVE將提醒更多的人修理並允許人們密切關注它,即使不廣泛使用NLWB。
微軟發言人本·霍普(Ben Hop)在一份聲明中說 自由。 “微軟在我們的任何產品中均未使用受影響的代碼。使用倉庫的客戶受到自動保護。”
Guan說,NLWB用戶“必須撤回並設置一個新的建築版本來消除缺陷”,”
在Web應用程序中的.ENV文件洩漏期間,瓊認為是人工智能代理的“災難性”。 Joan說:“這些文件具有適用於GPT-4的LLM的API鍵,GPT-4是代理商的認知引擎。” “攻擊者不僅竊取了認證數據,而且還竊取了代理商的思考,思想和行為的能力,這可能會導致濫用應用程序編程接口或創建有害克隆的巨大經濟損失。”
微軟也向MCP前進 謹慎 MCP近幾個月的風險。如果NLWB缺陷需要解決,您將需要Microsoft遵循一種準確的方法,以在提供新的人工智能功能以遵守安全的速度之間達到平衡。
