The Verge
·
微软利用人工智能修复网络的计划已遭遇尴尬的安全漏洞
💡
原文英文,约600词,阅读约需2分钟。
📝
内容提要
微软新推出的NLWeb协议存在严重安全漏洞,允许远程用户读取敏感文件。尽管漏洞已修复,但未发布CVE,安全研究人员对此表示担忧,认为传统漏洞可能影响AI系统的安全性,呼吁微软在安全与新功能之间取得平衡。
🎯
关键要点
- 微软新推出的NLWeb协议存在严重安全漏洞,允许远程用户读取敏感文件。
- 该漏洞是经典的路径遍历漏洞,容易被利用。
- 微软已修复该漏洞,但未发布CVE,安全研究人员对此表示担忧。
- 研究人员呼吁重新评估经典漏洞对AI系统的影响。
- 研究人员在NLWeb发布后不久报告了该漏洞,微软在几周后发布了修复。
- 微软发言人表示,受影响的代码不在其产品中使用,客户会自动受到保护。
- 研究人员警告,未更新的NLWeb部署仍然容易受到攻击。
- 泄露的.env文件对AI代理来说是灾难性的,可能导致财务损失。
- 微软在Windows中推进对模型上下文协议(MCP)的原生支持,安全研究人员对此表示风险警告。
- 微软需要在推出新AI功能的速度与安全性之间取得平衡。
❓
延伸问答
NLWeb协议的安全漏洞是什么?
NLWeb协议存在严重的路径遍历漏洞,允许远程用户读取敏感文件。
微软是如何处理NLWeb的安全漏洞的?
微软已于7月1日发布了修复,但未发布CVE。
研究人员对NLWeb漏洞的看法是什么?
研究人员认为经典漏洞可能影响AI系统的安全性,呼吁重新评估其影响。
未更新的NLWeb部署会有什么风险?
未更新的NLWeb部署仍然容易受到攻击,可能导致敏感信息泄露。
泄露的.env文件对AI代理有什么影响?
泄露的.env文件可能导致AI代理的API密钥被盗,造成财务损失。
微软在推出新AI功能时面临什么挑战?
微软需要在推出新AI功能的速度与确保安全性之间取得平衡。
➡️
