El plan de Microsoft para convertir los sitios net en aplicaciones de inteligencia synthetic ya ha alcanzado un aumento en la carretera en forma de un defecto de seguridad vergonzoso.
Se suponía que Pure Language Net (NLWEB), que Microsoft anunció en mayo en su Conferencia Anual de Desarrolladores Construct, hacía que los sitios net se consideren un lenguaje pure, como interactuar con chatbots de IA como Copilot o ChatGPT. Microsoft describió el proyecto como HTML para la net de agente.
Sin embargo, los investigadores ahora han encontrado una falla en el proyecto NLWEB que podría permitir a cualquier usuario remoto leer archivos confidenciales, como configuraciones del sistema o incluso claves API para modelos de lenguaje grandes (LLM) como GPT-4.
Los investigadores Aonan Guan y Lei Wang encontraron la falla y se lo informaron a Microsoft en mayo, y Guan subió una publicación de blog Detallando cómo encontraron el defecto el 6 de agosto. Guan es un ingeniero senior de seguridad en la nube de la compañía de tecnología Good Residence Wyze, aunque la investigación se realizó de forma independiente.
El defecto, vergonzosamente, es un problema de recorrido de camino común. Fallas transversales de camino Permita que las personas accedan a archivos a los que de otro modo no podrían acceder manipulando variables en la ruta del archivo. En otras palabras, es bastante fácil de explotar, con ataques tan simples como una URL malformada que permite el acceso a archivos sensibles. Junto con Microsoft ya implementando NLWEB para los principales clientes como Shopify, Eventbrite y TripAdvisor de Canadá, es un error bastante vergonzoso para Microsoft.
El gigante tecnológico con sede en Redmond, Washington, fijó el defecto el 1 de julio, pero no ha emitido un Vulnerabilidades y exposiciones comunes (CVE), que es estándar de la industria para clasificar fallas de seguridad como este.
Microsoft le dijo El borde que actualizó el repositorio de código abierto para NLWEB con la solución y que los clientes que lo usan “están protegidos automáticamente”. Pero Guan señala que los usuarios de NLWEB deben extraer la nueva versión de compilación para eliminar la falla.
Guan también argumentó que el defecto que permite el acceso a las claves de la API de LLM es “catastrófica”, ya que un atacante es efectivamente capaz de robar la “capacidad de pensar, la razón y actuar” de un agente de IA, lo que podría conducir a una pérdida financiera masiva o a la creación de un clon malicioso.
Fuente: Aonan Guan (medio) A través de: El borde
MobileSyrup puede obtener una comisión de las compras realizadas a través de nuestros enlaces, lo que ayuda a financiar el periodismo que proporcionamos free of charge en nuestro sitio net. Estos enlaces no influyen en nuestro contenido editorial. Apoyarnos aquí.
