Kế hoạch “sửa web bằng AI” của Microsoft đã gặp lỗ hổng bảo mật đáng xấu hổ

Các nhà nghiên cứu đã phát hiện một lỗ hổng nghiêm trọng trong giao thức NLWeb mà Microsoft đã quảng bá rầm rộ chỉ vài tháng trước tại Build. Đây là giao thức được giới thiệu là “HTML cho Agentic Web”, cung cấp khả năng tìm kiếm kiểu ChatGPT cho bất kỳ website hoặc ứng dụng nào. Việc phát hiện ra lỗ hổng bảo mật đáng xấu hổ này diễn ra ngay trong giai đoạn đầu Microsoft triển khai NLWeb với các khách hàng như Shopify, Snowflake, và TripAdvisor. 

Lỗ hổng này cho phép bất kỳ người dùng từ xa nào cũng có thể đọc các tệp nhạy cảm, bao gồm tệp cấu hình hệ thống và thậm chí API key của OpenAI hoặc Gemini. Thậm chí, đây là một lỗ hổng classic path traversal, nghĩa là nó dễ khai thác như việc truy cập một URL bị sai định dạng. Microsoft đã vá lỗi này, nhưng vấn đề đặt ra là tại sao một lỗi cơ bản như vậy lại không được phát hiện trong nỗ lực tập trung bảo mật mới của công ty. 

“Nghiên cứu này nhắc nhở rằng khi xây dựng các hệ thống AI mới, chúng ta cần đánh giá lại tác động của các lỗ hổng truyền thống, vốn giờ đây có thể gây nguy hại không chỉ đến server mà còn đến ‘bộ não’ của các agent AI,” — Aonan Guan, một trong các nhà nghiên cứu bảo mật báo cáo lỗi, cho biết. Guan là kỹ sư bảo mật cloud cấp cao tại Wyze, nhưng nghiên cứu này được thực hiện độc lập. 

Guan và Lei Wang báo cáo lỗ hổng cho Microsoft vào 28/5, chỉ vài tuần sau khi NLWeb được giới thiệu. Microsoft phát hành bản vá vào 1/7, nhưng chưa cấp CVE — chuẩn ngành để phân loại lỗ hổng bảo mật. Các nhà nghiên cứu đã thúc giục Microsoft cấp CVE để cảnh báo rộng rãi hơn, nhưng công ty tỏ ra do dự. Một CVE sẽ giúp nhiều người biết đến bản vá và theo dõi kỹ hơn, ngay cả khi NLWeb chưa được sử dụng rộng rãi. 

“Vấn đề này đã được báo cáo một cách có trách nhiệm và chúng tôi đã cập nhật kho mã nguồn mở,” — người phát ngôn Microsoft, Ben Hope, nói với The Verge. “Microsoft không dùng mã bị ảnh hưởng trong bất kỳ sản phẩm nào của chúng tôi. Khách hàng sử dụng kho mã nguồn mở sẽ tự động được bảo vệ.” 

Guan nhấn mạnh rằng người dùng NLWeb cần tải và triển khai bản build mới để loại bỏ lỗ hổng, nếu không bất kỳ triển khai NLWeb công khai nào vẫn có thể bị đọc trái phép các tệp .env chứa API key. 

Mặc dù việc lộ tệp .env trong ứng dụng web đã nghiêm trọng, Guan cho rằng với agent AI thì đây là thảm họa: 

“Các tệp này chứa API key cho các LLM như GPT-4, là bộ não nhận thức của agent. Một kẻ tấn công không chỉ đánh cắp chứng thực; họ đánh cắp khả năng suy nghĩ, lý luận và hành động của agent, có thể dẫn đến thiệt hại tài chính lớn từ việc lạm dụng API hoặc tạo ra bản sao độc hại.” 

Microsoft vẫn tiếp tục triển khai hỗ trợ native cho Model Context Protocol (MCP) trên Windows, trong khi các nhà nghiên cứu đã cảnh báo về rủi ro của MCP trong vài tháng gần đây. Nếu nhìn vào lỗ hổng NLWeb, Microsoft sẽ cần cân nhắc kỹ giữa tốc độ ra mắt các tính năng AI mới và việc ưu tiên bảo mật hàng đầu.