4 Minutės
Microsoft ambicingas NLWeb protokolas susiduria su rimtomis saugumo spragomis
Microsoft pastaruoju metu siekia pertvarkyti skaitmenines patirtis pasitelkdama dirbtinį intelektą, tačiau jau pirmieji bandymai susidūrė su iššūkiais. Vos praėjus keliems mėnesiams po to, kai buvo pristatytas revoliucinis NLWeb protokolas, skirtas suteikti svetainėms ir programėlėms pažangias, ChatGPT tipo natūralios kalbos paieškos funkcijas, kompanija jau turi aiškintis dėl rimtos saugumo spragos, aptiktos pirmiesiems protokolo naudotojams, tokiems kaip Shopify, Snowflake ir TripAdvisor.
Kas yra NLWeb? Funkcionalumas ir žadama nauda
NLWeb (Natūralios Kalbos Interneto Protokolas) pristatomas kaip naujas pagrindas vadinamajam „Agentic Web“ – iš esmės tai moderni, dirbtiniu intelektu paremta alternatyva tradiciniam HTML. Šis protokolas leidžia integruoti interaktyvias, natūralia kalba formuluojamas užklausas ir sklandžias DI funkcijas tiesiai į žiniatinklio programas, žadėdamas sumažinti atotrūkį tarp vartotojų bei galingų mašininio mokymosi modelių. NLWeb tikslas – padaryti tokias priemones kaip ChatGPT natūraliai prieinamas visame internete, taip iš esmės pagerinant vartotojų patirtį ir paieškas.
Atidengta spraga: atgyvenusios saugumo problemos prisikėlimas
Nors iš inovatyvaus protokolo tikėtasi daug, saugumo ekspertai Aonan Guan ir Lei Wang visai neseniai atskleidė opią NLWeb apsaugos spragą – takelių naršymo (path traversal) pažeidžiamumą. Tokie trūkumai ilgai buvo žinomi web programų saugumo bendruomenėje: jie leidžia įsilaužėliams pasiekti jautrius duomenis, įskaitant itin svarbius .env failus su sistemų paslaptimis, API raktais paslaugoms kaip OpenAI ar Gemini, o taip pat įvairiomis konfigūracijomis, paprasčiausiai pasiekus specifinius, gudriai suformuotus URL adresus.
Nors Microsoft operatyviai ištaisė šią klaidą, pati jos egzistavimo faktas kelia abejonių, kaip tokia akivaizdi problema galėjo praslysti pro akis, ypač tuomet, kai kompanija akcentuoja saugumą DI ir debesijos srityse. Takelių naršymo tipo spragos gerai žinomos kibernetinio saugumo specialistams ir jas reikėjo identifikuoti dar kūrimo stadijoje.
Rinkos reakcijos: kokią reikšmę tai įgauna šiandien
Saugumo srities profesionalai pabrėžia, kad DI sistemos sustiprina net klasikinių pažeidžiamumų poveikį. „Tokie klasikiniai trūkumai kaip takelių naršymas kelia pavojų jau ne tik serveriams – jie kelia grėsmę ir pagrindiniam DI agentų intelektui,“ teigia Aonan Guan, Wyze debesijos saugumo vyr. inžinierius. Jei įsilaužėlis gautų prieigą prie didelių kalbos modelių (LLM) – pvz., GPT-4 – API raktų, jis galėtų perimti DI agento sprendimų mechanizmą, kas lemtų pavojingas pasekmes: neleistinas duomenų prieigas, milžiniškas API naudojimo sąskaitas ar net piktavališkų DI klonų sukūrimą.
Ištaisymai, paskelbimas ir raginimai skaidrumui
Anot Microsoft atstovo Beno Hope'o, problema buvo „atsakingai pranešta“ ir pataisymai jau prieinami atvirojo kodo NLWeb pakete. Kompanija pabrėžia, kad jos pačios sistemoms ši spraga nepakenkė, tačiau visi, kurie jau įsidiegė NLWeb, turi nedelsdami atnaujinti sistemą – kitaip jų duomenys gali būti nelegaliai pasiekti iš išorės.
Vis dėlto, diskusijos netyla. Saugumo ekspertai ragina Microsoft suteikti oficialų Common Vulnerabilities and Exposures (CVE) numerį – standartą, padedantį sekti ir spręsti saugumo spragas. Microsoft kol kas delsia, veikiausiai todėl, kad protokolas dar nėra masiškai diegiamas. Tačiau CVE paskirtis užtikrintų efektyvesnį informavimą bei spartesnę pažeidžiamumų šalinimo eigą ateityje.
Lyginimai ir rinkos perspektyvos: NLWeb vieta naujųjų technologijų kontekste
Nors NLWeb siūlo patogią DI paiešką ir turinio analizę, ši situacija aiškiai parodo naujų DI protokolų iššūkius saugumo srityje. Kiti sistemų karkasai ir įprastos web technologijos buvo grūdinamos dešimtmečius, todėl nauji sprendimai, tokie kaip NLWeb, turi nebijoti siekti ar net viršyti aukščiausius saugumo standartus nuo pat pradžių.
NLWeb išlieka patrauklus pasirinkimas ypač elektroninės prekybos, kelionių bei platformų paslaugų teikėjams, siekiantiems inovatyvių vartotojų patirčių. Tačiau, kaip rodo šis incidentas, DI integracija į pagrindinę interneto infrastruktūrą negali būti vystoma atsisakant dėmesio kibernetiniam saugumui.
Perspektyvos: inovacijų ir saugumo pusiausvyros paieškos DI amžiuje
Microsoft toliau planuoja diegti Model Context Protocol (MCP) tiesiogiai į Windows ekosistemą, norėdama dar labiau įtvirtinti DI. Tačiau saugumo tyrėjams vis perspėjant apie kylantį pavojų, kompanijai teks priimti lemiamą sprendimą: ar plėtoti DI funkcijas maksimaliu greičiu, ar visgi užtikrinti, kad saugumo standartai liktų kertinis akmuo. Ankstyva NLWeb protokolo klaida įrodo – įprasti pažeidžiamumai reikalauja naujo dėmesio išmaniųjų agentų eroje.
Sekite naujienas apie NLWeb raidą, kai technologijų milžinai lenktyniauja sujungdami sąmoningesnę, kontekstinę žiniatinklio patirtį su griežtais saugumo standartais. Šis įvykis išlieka svarbi priminimas apie didžiules rizikas skaitmeninės inovacijos ateityje.
Šaltinis: theverge
Komentarai