Фото: depositphotos
Microsoft зіткнулася з проблемою безпеки у своєму експериментальному проєкті NLWeb, покликаному переосмислити взаємодію з інтернетом. Протокол, представлений 20 травня на конференції Build 2025, дозволяє користувачам керувати сайтами за допомогою звичайної мови, наче в діалозі з чатботом. Уже за тиждень після анонсу дослідники з Wyze — Аонан Гуань і Лей Ванг — повідомили про серйозну вразливість у системі.
Про це пише The Verge.
Йдеться про помилку обходу шляху, яка дозволяла отримати доступ до чутливих файлів, включно з конфігураціями та API-ключами сторонніх сервісів, зокрема OpenAI та Gemini. Microsoft оперативно відреагувала — оновлення з виправленням оприлюднили 1 червня. У компанії наголосили, що проблема не торкнулась жодного з продуктів Microsoft і не зачепила клієнтів, які використовують відкритий репозиторій, зокрема Shopify, Snowflake та TripAdvisor.
Однак відмова компанії присвоїти вразливості ідентифікатор CVE викликала критику з боку спільноти безпеки. Це ускладнює сповіщення користувачів і фіксацію випадку в офіційних базах. Як зауважив дослідник Гуань, інцидент демонструє, що при створенні нових ШІ-систем варто враховувати навіть класичні вразливості — вони можуть загрожувати не лише серверам, а й логіці самих агентів.
Нагадаємо, Microsoft досягла рекордної капіталізації в $4 трильйони
Юлія Корній - pravdatutnews.com
