Microsoft s-a confruntat recent cu o vulnerabilitate semnificativă în noul său protocol NLWeb, destinat integrării agenților AI în aplicații web. Această problemă de securitate, descoperită de cercetătorii Aonan Guan și Lei Wang, a fost raportată pe 28 mai 2025 și are implicații serioase pentru datele sensibile gestionate de platforme care folosesc acest protocol.

Vulnerabilitatea de tip path traversal permite accesul neautorizat la fișiere critice, cum ar fi cele care stochează chei API. Aceste chei sunt esențiale pentru funcționarea agenților AI, controlând accesul la modele avansate, precum GPT-4 de la OpenAI. În cazul unui atac, un atacator ar fi putut să preia aceste chei, generând potențial costuri semnificative sau compromițând operațiunile firmelor care utilizează NLWeb.

Microsoft a lansat un patch pe 1 iulie, dar modalitatea de gestionare a incidentului a atras critici, în special refuzul de a emite un CVE (Common Vulnerabilities and Exposures), ceea ce limitează recunoașterea oficială a problemei. Această lipsă de transparență poate spori neîncrederea în rândul utilizatorilor și partenerilor.

Incidentul subliniază fragilitatea ecosistemului AI și relevanța respectării standardelor de securitate, în special când agenții AI devin actori activi în mediul digital. Proiectul NLWeb, promovat ca un pas important către un internet bazat pe AI, se confruntă cu provocări serioase privind securitatea cibernetică.

Pe termen lung, acest caz ar putea obliga toți jucătorii din industrie să reevalueze strategiile de securitate, având în vedere că sistemele AI, odată considerate mereu utile, pot deveni ținte pentru atacuri cibernetice. Informarea continuă asupra acestor evoluții și monitorizarea inovațiilor în domeniul securității vor fi esențiale pentru a preveni exploatarea erorilor similare în viitor.