Pesquisadores já encontraram uma vulnerabilidade crítica no novo protocolo NLWeb, que a Microsoft fez questão de destacar há apenas alguns meses na Build. É um protocolo que deve ser “HTML para a Web Agentic”, oferecendo busca semelhante ao ChatGPT para qualquer website ou aplicativo. A descoberta da embaraçosa falha de segurança ocorre nas fases iniciais do lançamento do NLWeb com clientes como Shopify, Snowlake e TripAdvisor.
A falha permite que qualquer usuário remoto leia arquivos sensíveis, incluindo arquivos de configuração do sistema e até mesmo chaves de API da OpenAI ou Gemini. O que é pior é que se trata de uma falha clássica de travessia de caminho, o que significa que é tão fácil de explorar quanto visitar uma URL malformada. A Microsoft corrigiu a falha, mas isso levanta questões sobre como algo tão básico não foi detectado no grande novo foco da Microsoft em segurança.
“Este estudo de caso serve como um lembrete crítico de que, à medida que construímos novos sistemas impulsionados por IA, devemos reavaliar o impacto de vulnerabilidades clássicas, que agora têm o potencial de comprometer não apenas servidores, mas também os ‘cérebros’ dos próprios agentes de IA,” diz Aonan Guan, um dos pesquisadores de segurança (junto com Lei Wang) que relataram a falha à Microsoft. Guan é engenheiro sênior de segurança em nuvem na Wyze (sim, aquela Wyze), mas esta pesquisa foi realizada de forma independente.
Guan e Wang relataram a falha à Microsoft em 28 de maio, apenas algumas semanas após a apresentação do NLWeb. A Microsoft emitiu uma correção em 1 de julho, mas não emitiu um CVE para o problema — um padrão da indústria para classificar vulnerabilidades. Os pesquisadores de segurança têm pressionado a Microsoft para emitir um CVE, mas a empresa tem relutado em fazê-lo. Um CVE alertaria mais pessoas sobre a correção e permitiria que as pessoas a acompanhassem mais de perto, mesmo que o NLWeb ainda não seja amplamente utilizado.
“Esta questão foi relatada de forma responsável e atualizamos o repositório de código aberto,” diz o porta-voz da Microsoft, Ben Hope, em um comunicado ao The Verge. “A Microsoft não usa o código impactado em nenhum de nossos produtos. Os clientes que usam o repositório estão automaticamente protegidos.”
Guan diz que os usuários do NLWeb “devem puxar e fornecer uma nova versão do build para eliminar a falha”, caso contrário, qualquer implementação do NLWeb voltada para o público “permanecerá vulnerável à leitura não autenticada de arquivos .env contendo chaves de API.”
Enquanto vazar um arquivo .env em uma aplicação web é sério o suficiente, Guan argumenta que é “catastrófico” para um agente de IA. “Esses arquivos contêm chaves de API para LLMs como o GPT-4, que são o motor cognitivo do agente,” diz Guan. “Um atacante não apenas rouba uma credencial; ele rouba a capacidade do agente de pensar, raciocinar e agir, potencialmente levando a uma enorme perda financeira devido ao abuso de API ou à criação de um clone malicioso.”
A Microsoft também está avançando com suporte nativo para o Protocolo de Contexto de Modelo (MCP) no Windows, enquanto pesquisadores de segurança alertaram sobre os riscos do MCP nos últimos meses. Se a falha do NLWeb é um indicador, a Microsoft precisará adotar uma abordagem extra cautelosa para equilibrar a rapidez na implementação de novos recursos de IA com a segurança sendo a prioridade número um.