Kritische Sicherheitslücke in Microsofts KI-Protokoll NLWeb

Eine signifikante Sicherheitslücke wurde in Microsofts neuem NLWeb-Protokoll entdeckt, einer Technologie, die fortschrittliche KI-gestützte Suche und Interaktion über Websites und Anwendungen ermöglichen soll, und als „HTML für das Agentic Web“ bezeichnet wird. Der Fehler trat nur wenige Monate auf, nachdem Microsoft NLWeb auf seiner Build-Konferenz vorgestellt hatte und das Unternehmen begann, es bei frühen Kunden wie Shopify, Snowlake und TripAdvisor einzusetzen.

Die Schwachstelle, als „klassische Path-Traversal-Lücke“ identifiziert, ermöglicht unbefugten Remote-Benutzern den Zugriff auf sensible Dateien. Dazu gehören Systemkonfigurationsdateien und entscheidende API-Schlüssel für große Sprachmodelle (LLMs) wie OpenAI oder Googles Gemini. Ihre einfache Ausnutzung, lediglich durch den Besuch einer fehlerhaften URL, unterstreicht die kritische Natur des Problems.

Für KI-Agenten sind die Auswirkungen dieser Schwachstelle besonders schwerwiegend. Wie der Sicherheitsforscher Aonan Guan, der die Schwachstelle zusammen mit Lei Wang meldete, erklärte, dienen diese exponierten API-Schlüssel als „kognitiver Motor“ für KI-Agenten. Ein Angreifer, der Zugang zu diesen Schlüsseln erhält, stiehlt nicht nur Anmeldeinformationen; er „stiehlt die Fähigkeit des Agenten zu denken, zu argumentieren und zu handeln“, was potenziell zu erheblichen finanziellen Verlusten durch API-Missbrauch oder die Erstellung bösartiger Klone führen kann.

Guan und Wang meldeten den Fehler am 28. Mai an Microsoft, nur Wochen nach der öffentlichen Enthüllung von NLWeb. Microsoft reagierte am 1. Juli mit der Bereitstellung eines Fixes. Das Unternehmen hat jedoch keine Common Vulnerabilities and Exposures (CVE)-Kennung für das Problem vergeben, einen Industriestandard zur Klassifizierung und Verfolgung von Sicherheitslücken. Die Forscher haben sich für eine CVE eingesetzt und argumentiert, dass dies das Bewusstsein erhöhen und eine bessere Verfolgung ermöglichen würde, auch wenn NLWeb noch nicht weit verbreitet ist.

In einer Erklärung bestätigte Microsoft-Sprecher Ben Hope, dass das Problem „verantwortungsvoll gemeldet“ und das „Open-Source-Repository“ aktualisiert wurde. Hope fügte hinzu, dass „Microsoft den betroffenen Code in keinem unserer Produkte verwendet“ und Kunden, die das Repository nutzen, „automatisch geschützt sind“. Trotzdem betonte Guan, dass öffentlich zugängliche NLWeb-Bereitstellungen weiterhin anfällig für das unautorisierte Lesen von API-Schlüsseldateien bleiben, es sei denn, Benutzer „ziehen und liefern eine neue Build-Version“.

Dieser Vorfall verdeutlicht die komplexen Herausforderungen bei der Aufrechterhaltung robuster Sicherheit in der sich schnell entwickelnden Landschaft der künstlichen Intelligenz. Er wirft auch Fragen nach Microsofts erneutem Schwerpunkt auf Sicherheit auf, insbesondere da das Unternehmen gleichzeitig andere KI-Initiativen vorantreibt, wie die native Unterstützung für das Model Context Protocol (MCP) in Windows, das von Forschern eigene Sicherheitswarnungen hervorgerufen hat. Die schnelle Entdeckung dieses fundamentalen Fehlers in NLWeb dient als eindringliche Erinnerung an Technologieunternehmen, umfassende Sicherheitsmaßnahmen neben der schnellen Entwicklung und Bereitstellung neuer KI-Fähigkeiten zu priorisieren.