文章来源:08ai导航网发布时间:2025-08-07 16:44:14
8月6日消息,微软今年5月在Build大会上推出了全新NLWeb协议,号称“AgenticWeb的HTML”,旨在为任何网站或应用提供类似ChatGPT的搜索功能。
不过,现有研究人员发现NLWeb存在一个严重安全漏洞,允许任何远程用户读取敏感文件,包括系统配置文件,甚至OpenAI或Gemini的API密钥。
研究人员指出,这一漏洞属于经典路径遍历漏洞,利用方式简单到“像访问错误URL一样容易”,可以让远程用户读取系统配置文件、.env文件(包含API密钥)等敏感信息。
该漏洞由安全研究人员AonanGuan(Wyze公司高级云安全工程师)与LeiWang于5月28日报告给微软,距NLWeb推出仅数周。注意到,微软已于7月1日发布修复程序,但未针对此问题发布CVE公告。
两人一直在敦促微软发布CVE,但微软不愿配合。微软发言人本・霍普(BenHope)回应称:“此问题已被负责任地报告,我们已更新开源代码库。微软未在任何产品中使用受影响的代码。使用该代码库的客户会自动获得保护。”
Guan表示,NLWeb用户“必须获取并提供一个新的构建版本来消除这个漏洞”,否则任何面向公众的NLWeb部署“仍然容易受到未经身份验证的读取,导致包含API密钥的.env文件泄露”。
Guan认为,虽然在网络应用中泄露.env文件已经足够严重,但对于AI智能体而言,这简直是“灾难性的”。“这些文件包含了像GPT-4这样的LLM的API密钥,它们是智能体的认知引擎。攻击者不仅仅是窃取了一个凭证;他们窃取了智能体的思考、推理和行动能力,可能因API滥用而导致巨大的经济损失,或创建一个恶意克隆体。”
与此同时,微软还在推进在Windows中对模型上下文协议(MCP)的本机支持,尽管安全研究人员近几个月来一直警告MCP的风险。如果NLWeb漏洞有任何借鉴意义,微软将需要在推出新AI功能的速度与坚持将安全作为首要任务之间,采取一种格外谨慎的平衡方式。
相关阅读:
《微软推出NLWeb开源项目,让网站“一键变身”AI应用》
相关攻略 更多
最新资讯 更多
微软新协议NLWeb被曝出严重安全漏洞:可致API密钥泄露,已修复
更新时间:2025-08-07
超7万条ChatGPT私聊内容在网上“裸奔”,遭用户怒骂后,OpenAI急忙下架:这不是Bug,而是个“实验”
更新时间:2025-08-07
小红书首个多模态AI大模型dots.vlm1发布并开源,基于DeepSeekV3LLM
更新时间:2025-08-07
研究显示:AI解6x6数独都费劲,解释决策时还答非所问
更新时间:2025-08-07
特朗普疯了!美国宣布将对芯片征收100%关税,全球产业链严阵以待
更新时间:2025-08-07
我们为什么喜欢看机器人互殴?
更新时间:2025-08-07
ChatGPT连接器漏洞曝光:无需用户交互,可“毒化文档”窃取敏感数据
更新时间:2025-08-07
研究人员入侵谷歌Gemini,实现远程操控智能家居
更新时间:2025-08-07
AI 能造世界了?谷歌 DeepMind 的 Genie 3 分秒生成《死亡搁浅》
更新时间:2025-08-07
微软将OpenAI最小开源模型gpt-oss-20b引入Windows,本地也能跑
更新时间:2025-08-07
