A Microsoft anunciou recentemente o protocolo NLWeb como parte de seu plano de “corrigir a web” com recursos avançados de Inteligência Artificial (IA). A promessa era levar buscas no estilo ChatGPT para qualquer site ou aplicativo, mas uma vulnerabilidade grave já foi descoberta antes mesmo da adoção em larga escala. As informações são do The Verge.
Pesquisadores identificaram que o NLWeb, usado por empresas como Shopify, Snowflake e TripAdvisor, estava vulnerável a uma falha de path traversal. Esse tipo de erro permite que qualquer pessoa com acesso à internet leia arquivos sensíveis do sistema, incluindo chaves de API de serviços como OpenAI e Gemini.
Como a falha afeta a segurança na IA?
O problema, segundo o pesquisador Aonan Guan, vai muito além de um simples vazamento de dados. Em agentes de IA, a exposição de um arquivo .env pode comprometer o “motor cognitivo” do sistema, permitindo que um invasor:
- Roube chaves de API de modelos como GPT-4;
- Abuse das APIs, gerando custos elevados;
- Crie clones maliciosos do agente de IA;
- Comprometa a capacidade de raciocínio e tomada de decisão do sistema.
Apesar de a Microsoft já ter lançado uma correção em 1º de julho, a empresa não atribuiu um CVE (padrão usado para catalogar vulnerabilidades), o que tem gerado críticas da comunidade de segurança. Pesquisadores defendem que a medida aumentaria a transparência e permitiria que usuários acompanhassem o status do problema.
Microsoft promete reforço na segurança
Em nota ao site The Verge, a Microsoft afirmou que o código afetado não é utilizado em seus produtos e que usuários do repositório aberto estão protegidos. No entanto, especialistas alertam que quem utiliza o NLWeb precisa atualizar para a nova versão para evitar riscos.
Leia mais:
- Microsoft cria agente de IA para detectar malware sem humanos
- CEO avisa: Apple quer liderar mercado das IAs
- Quais os piores vírus de computador da história? Veja impacto dessas ameaças
A descoberta reacende o debate sobre a pressa em lançar novas soluções de IA sem a devida atenção à segurança. Com o avanço do Model Context Protocol (MCP) no Windows, a Microsoft terá de equilibrar inovação e proteção para evitar falhas semelhantes no futuro.
O post Microsoft sofre revés com falha grave em novo protocolo de IA apareceu primeiro em Olhar Digital.
