Недавно исследователь безопасности Аонан Гуань нашёл уязвимость в технологии NLWeb от Microsoft, которая позволяет ИИ-агентам взаимодействовать с сайтами от лица пользователя.
NLWeb похожа на HTML, но предназначена для агентов искусственного интеллекта. Microsoft представила её на конференции Build весной 2025 года и активно развивает с помощью экспериментального режима Copilot в браузере Edge.
Оказалось, что NLWeb позволяет любому человеку, который знает URL-адрес, получить доступ к конфиденциальным данным, таким как пароли и учётные записи, с помощью неправильно введённого адреса. Причём это касается даже раскрытия токенов ИИ-агентов.
Гуань показал, как он смог скачать список системных паролей и получить доступ к ключам для работы с ИИ от Google и OpenAI. Эксперт подчеркнул, что хакеры, разумеется, умеют то же самое, и эта уязвимость могла бы позволить злоумышленникам использовать дополнительные серверы искусственного интеллекта бесплатно и незаметно.
После получения информации об уязвимости от Гуаня Центр безопасности Microsoft выпустил исправление для этой проблемы, но не опубликовал официальный отчёт о ней.
По словам Гуана, обычные пользователи не должны предпринимать никаких действий. Он также отметил, что ИИ развивается очень быстро, и грань между общением с ИИ и выполнением его команд может стать размытой.
«Сама суть NLWeb заключается в интерпретации естественного языка. Это стирает границы между пользовательским вводом и системными командами. В будущем злоумышленники могут создавать предложения, которые после анализа агентом преобразуются в пути к вредоносным файлам или действия», — рассказал Гуань.