Kerentanan Kritis NLWeb Microsoft Mengancam Keamanan AI dan Data Penting

Microsoft memperkenalkan NLWeb, sebuah protokol baru yang memungkinkan pencarian seperti ChatGPT di berbagai website dan aplikasi. Sayangnya, baru beberapa bulan setelah peluncuran, ditemukan kerentanan serius yang memungkinkan akses tidak sah ke file sistem penting dan kunci API yang digunakan oleh agen AI. Kerentanan ini berupa flaw klasik path traversal yang sangat mudah dieksploitasi melalui URL yang dimanipulasi. Akibatnya, penyerang dapat membaca file penting seperti .env yang berisi kredensial API untuk layanan AI seperti GPT-4, yang berfungsi sebagai 'otak' dari agen AI tersebut. Microsoft merespons dengan mengeluarkan perbaikan pada bulan Juli, namun tidak segera memberikan CVE, sebuah kode standar internasional untuk mengklasifikasikan dan mengidentifikasi kerentanan keamanan. Hal ini memicu desakan dari para peneliti keamanan agar Microsoft segera mengumumkannya secara resmi. Para peneliti keamanan menekankan bahwa kasus ini menandakan perlunya evaluasi ulang terhadap kerentanan klasik dalam konteks sistem AI yang semakin kompleks. Jika dibiarkan, kesalahan seperti ini bukan hanya menyangkut keamanan data tapi juga kemampuan AI untuk berpikir dan bertindak yang bisa disalahgunakan. Meskipun saat ini Microsoft mengklaim produk ini belum digunakan secara luas oleh mereka dan hanya beberapa pelanggan seperti Shopify dan TripAdvisor yang menerapkan, penting bagi semua pengguna NLWeb untuk segera memperbarui ke versi terbaru agar terhindar dari eksploitasi yang berpotensi merugikan secara finansial dan reputasi.