لقد ضربت خطة Microsoft لإصلاح الويب مع الذكاء الاصطناعى عيبًا مخزيًا للسلامة.
وجد الباحثون أن هناك ضعفًا مهمًا في بروتوكول NLWEB الجديد. لقد حققت Microsoft صفقة كبيرة منذ حوالي بضعة أشهر في Build. إنه بروتوكول يجب أن يكون “HTML لموقع ويب” يقدم البحث عن GPT. Shopify و Snowlake و TripAdvisor
يتيح العيب للمستخدمين الطويل القراءة قراءة الملفات الحساسة ، بما في ذلك نظام النظام ، وإعدادات النظام ، وحتى مفاتيح Openai أو Gemini API. والأسوأ من ذلك هو أنه عيب ، طريق كلاسيكي ، مما يعني أنه سهل الاستخدام من زيارة عنوان URL الخاطئة. لكنه يعطي سؤالاً حول ما هو الأساسي الذي لم يركز بعد على Microsoft في الأمان.
“تعمل هذه الدراسة بمثابة تحذير مهم من أنه بينما ننشئ نظامًا جديدًا لمنظمة العفو الدولية ، يتعين علينا تقييم تأثير الضعف الكلاسيكي مرة أخرى ، والذي لديه الآن القدرة على التسوية ، ليس فقط الخادم ، ولكن” الدماغ “لممثل الذكاء الاصطناعي.” قال ذلك يخدعأحد باحثو السلامة (إلى جانب Lei Wang) ، الذي يبلغ عن Microsoft Guan ، مهندس سحابة سحابي كبير في Wyze (نعم ، Wyze) ، لكن هذا البحث مستقل.
ذكرت Guan و Wang عيوب Microsoft في 28 مايو ، بعد بضعة أسابيع فقط من الكشف عن NLWEB. أصدرت Microsoft حلاً في 1 يوليو ، لكنها لم تصدر CVE للمشاكل – المعايير الصناعية للتصنيف. دفع باحثو السلامة Microsoft إلى الخروج من CVE ، لكن الشركة مترددة في القيام بذلك. سوف تنبه CVES الكثير من الناس حول التحرير والسماح للناس بمتابعتهم عن كثب ، على الرغم من أن NLWEB غير مستخدم على نطاق واسع.
وقال بنهوب ، في بيان لـ حافة– “لا تستخدم Microsoft الكود المتأثر في أي من منتجاتنا. سيتم حماية العملاء الذين يستخدمون التخزين تلقائيًا.”
قال جوان إنه يتعين على مستخدمي NLWEB سحب وشراء نسخة جديدة من الفاتورة للتخلص من العيوب. “خلاف ذلك ، لا يزال استخدام أي NLWEB العامة” معرضًا لخطر قراءة الملفات. ENV التي ليس لها فحص دون التحقق. “
أثناء تسريب الملف. ENV على تطبيق الويب خطيرة بما فيه الكفاية. يقول جوان إنها “كارثة” لممثلي الذكاء الاصطناعي. وقال المهاجم ، وليس فقط المعلومات ، أو قدرة الوكيل ، أو سبب العقل والإجراءات ، والتي قد تؤدي إلى كمية كبيرة من AP أو خلق الطين الخطير. “
تقدمت Microsoft أيضًا إلى الأمام بدعم تقليدي لسياق البروتوكول (MCP) في جميع النوافذ ، بينما يتمتع باحثو الأمن تحذير خطر MCP في الأشهر القليلة الماضية إذا كان عيب NLWEB هو شيء يجب أن يمر ، سيتعين على Microsoft استخدام مهنة خاصة لتحقيق التوازن بين سرعة ميزة الذكاء الاصطناعى الجديد مقارنة بالأمان.
