主要内容
研究人员已在微软几个月前 Build 大会上大肆宣扬的新 NLWeb 协议中发现一个关键漏洞。该协议旨在成为“智能网络的 HTML”,为任何网站或应用提供类似 ChatGPT 的搜索功能。在微软向 Shopify、Snowlake 和 TripAdvisor 等客户部署 NLWeb 的早期阶段,就发现了这个令人尴尬的安全漏洞。此漏洞允许任何远程用户读取敏感文件,包括系统配置文件甚至 OpenAI 或 Gemini API 密钥。更糟糕的是,这是一个经典的路径遍历漏洞,意味着只需访问一个格式错误的 URL 即可利用。微软已修复该漏洞,但这引发了一个问题,即像这样如此基础的问题为何在微软对安全的新重点关注中未被发现。
安全研究员关安南(与王雷一同)向微软报告了该漏洞,他表示:“此案例研究提醒我们,在构建新的人工智能系统时,必须重新评估经典漏洞的影响,这些漏洞现在不仅可能危及服务器,还可能危及人工智能代理的‘大脑’。”关安南是 Wyze 的高级云安全工程师(是的,就是那个 Wyze),但此次研究是独立进行的。他和王雷于 5 月 28 日向微软报告了该漏洞,仅在 NLWeb 推出几周后。微软于 7 月 1 日发布了修复程序,但未为该问题发布 CVE(漏洞分类的行业标准)。安全研究员一直在敦促微软发布 CVE,但该公司一直不愿意这样做。CVE 会提醒更多人注意修复程序,并使人们能够更密切地跟踪它,即使 NLWeb 尚未广泛使用。
微软发言人本·霍普在给 The Verge 的一份声明中表示:“此问题已被负责任地报告,我们已更新了开源存储库。微软不在我们的任何产品中使用受影响的代码。使用该存储库的客户将自动受到保护。”关安南表示,NLWeb 用户“必须拉取并提供一个新的构建版本以消除该漏洞”,否则任何面向公众的 NLWeb 部署“仍易受到未经身份验证读取包含 API 密钥的.env 文件的攻击”。关安南认为,在网络应用中泄露.env 文件已经足够严重,但对于人工智能代理来说则是“灾难性的”。“这些文件包含像 GPT-4 这样的大型语言模型的 API 密钥,它们是代理的认知引擎。攻击者不仅窃取了凭证,还窃取了代理的思考、推理和行动能力,可能导致因 API 滥用或创建恶意克隆而造成巨大的财务损失。”
微软也在推进 Windows 中对模型上下文协议(MCP)的原生支持,与此同时,安全研究员在最近几个月警告了 MCP 的风险。如果 NLWeb 漏洞是一个参考,那么微软将需要采取额外谨慎的方法,在推出新的人工智能功能的速度与坚持安全为首要任务之间取得平衡。