2025-08-06 23:02:43
不过,现有研究人员发现NLWeb存在一个严重安全漏洞,允许任何远程用户读取敏感文件,包括系统配置文件,甚至OpenAI或Gemini的API密钥。研究人员指出,这一漏洞属于经典路径遍历漏洞,利用方式简单到“像访问错误URL一样容易”,可以让远程用户读取系统配置文件、.env文件(包含API密钥)等敏感信息。该漏洞由安全研究人员AonanGuan(Wyze公司高级云安全工程师)与LeiWang于5月28日报告给微软,距NLWeb推出仅数周。亚汇网注意到,微软已于7月1日发布修复程序,但未针对此问题发布CVE公告。两人一直在敦促微软发布CVE,但微软不愿配合。微软发言人本?霍普(BenHope)回应称:“此问题已被负责任地报告,我们已更新开源代码库。微软未在任何产品中使用受影响的代码。使用该代码库的客户会自动获得保护。”Guan表示,NLWeb用户“必须获取并提供一个新的构建版本来消除这个漏洞”,否则任何面向公众的NLWeb部署“仍然容易受到未经身份验证的读取,导致包含API密钥的.env文件泄露”。Guan认为,虽然在网络应用中泄露.env文件已经足够严重,但对于AI智能体而言,这简直是“灾难性的”。“这些文件包含了像GPT-4这样的LLM的API密钥,它们是智能体的认知引擎。攻击者不仅仅是窃取了一个凭证;他们窃取了智能体的思考、推理和行动能力,可能因API滥用而导致巨大的经济损失,或创建一个恶意克隆体。”与此同时,微软还在推进在Windows中对模型上下文协议(MCP)的本机支持,尽管安全研究人员近几个月来一直警告MCP的风险。如果NLWeb漏洞有任何借鉴意义,微软将需要在推出新AI功能的速度与坚持将安全作为首要任务之间,采取一种格外谨慎的平衡方式。相关阅读:《广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。
