Si el término ‘nlweb’ primero recordó una imagen de un proveedor de servicios de Web holandés, probablemente no esté solo. Lo que realmente es, o intenta convertirse, es la visión de Microsoft de un protocolo de Web paralelo que utiliza el cual los propietarios de sitios net y los desarrolladores de aplicaciones pueden integrar cualquier chatbot basado en LLM que deseen. Desafortunadamente para Microsoft, el protocolo NLWEB Acabo de sufrir su primer defecto de seguridad importante.
El defecto es un doozy absoluto, que involucra una vulnerabilidad de transversal de ruta básica que permite a un atacante usar URL formateadas adecuadamente para atravesar el sistema de archivos del sistema remoto, Internet hosting, sistema para extraer claves y otra información wise. Aunque Microsoft ya lo parchó, no se asignó CVE, al tiempo que planteaba la cuestión de cuántos errores más elementales como este pueden estar al acecho en el protocolo y el software program asociado.
En cuanto a por qué un sitio net o propietario de la aplicación podría estar interesado en NLWEB, el tono de marketing parece ser una alternativa para integrar una función de búsqueda native. De esta manera, cualquier sitio net o aplicación puede tener su propia funcionalidad de búsqueda de estilo CHATGPT que se limita teóricamente a su sitio net, en lugar de que los clientes amantes de Chatbot van al Sitio CHATGPT o equivalente para hacer sus preguntas allí.
Además de la fuerte vibra de ‘solución en busca de un problema’, es preocupante que desde el principio parezca introducir problemas de seguridad bastante serios que sugieren una falta de pruebas reales, sin importar una fuerte ignorancia del hecho de que la falta de desinfección de entrada del usuario es la causa principal por los CVE ampliamente explotados. Desconocido es si el copiloto de GitHub se usó para escribir la base de código afectada.
