Image from The Verge微软雄心勃勃的新AI网络协议NLWeb,旨在为任何网站带来类似ChatGPT的搜索能力,在发布仅数月后就遭遇了严重的安全漏洞。研究人员发现了一个路径遍历漏洞,允许远程用户轻松访问敏感文件,包括系统配置和关键的OpenAI或Gemini API密钥。这一漏洞构成重大风险,可能使攻击者窃取AI代理的“认知引擎”,并导致巨大的经济损失或恶意克隆的产生。
该漏洞于5月28日报告给微软,并于7月1日发布了补丁。然而,安全研究员管傲男和王磊正在敦促微软发布通用漏洞披露(CVE)标识符,这是行业内用于分类和跟踪漏洞的标准做法。微软表示该问题已得到负责任的报告并在其开源代码库中修复,声称其自身产品未使用受影响的代码。尽管如此,专家警告称,任何面向公众的NLWeb部署如果未更新,仍将面临风险。
这一事件严峻地提醒了开发新型AI驱动系统所固有的安全挑战。它强调了微软等科技巨头在快速创新与严格安全协议之间取得平衡的必要性,尤其是在将AI整合到核心网络功能时。
