Kerentanan Kritis NLWeb Microsoft Mengancam Keamanan AI dan Data Penting
Courtesy of TheVerge

Kerentanan Kritis NLWeb Microsoft Mengancam Keamanan AI dan Data Penting

Menyampaikan adanya kerentanan keamanan kritis dalam protokol NLWeb yang dapat membahayakan data dan kunci API penting, serta menekankan perlunya evaluasi ulang terhadap kerentanan klasik dalam era kecerdasan buatan untuk melindungi sistem AI.

06 Agt 2025, 17.30 WIB
12 dibaca
Share
Ikhtisar 15 Detik
  • Kerentanan klasik masih relevan dalam konteks sistem AI modern.
  • Pentingnya evaluasi keamanan yang mendalam saat mengembangkan teknologi baru seperti NLWeb.
  • Perlu adanya transparansi dalam pelaporan kerentanan untuk melindungi pengguna dan sistem.
Redmond, Amerika Serikat - Microsoft memperkenalkan NLWeb, sebuah protokol baru yang memungkinkan pencarian seperti ChatGPT di berbagai website dan aplikasi. Sayangnya, baru beberapa bulan setelah peluncuran, ditemukan kerentanan serius yang memungkinkan akses tidak sah ke file sistem penting dan kunci API yang digunakan oleh agen AI.
Kerentanan ini berupa flaw klasik path traversal yang sangat mudah dieksploitasi melalui URL yang dimanipulasi. Akibatnya, penyerang dapat membaca file penting seperti .env yang berisi kredensial API untuk layanan AI seperti GPT-4, yang berfungsi sebagai 'otak' dari agen AI tersebut.
Microsoft merespons dengan mengeluarkan perbaikan pada bulan Juli, namun tidak segera memberikan CVE, sebuah kode standar internasional untuk mengklasifikasikan dan mengidentifikasi kerentanan keamanan. Hal ini memicu desakan dari para peneliti keamanan agar Microsoft segera mengumumkannya secara resmi.
Para peneliti keamanan menekankan bahwa kasus ini menandakan perlunya evaluasi ulang terhadap kerentanan klasik dalam konteks sistem AI yang semakin kompleks. Jika dibiarkan, kesalahan seperti ini bukan hanya menyangkut keamanan data tapi juga kemampuan AI untuk berpikir dan bertindak yang bisa disalahgunakan.
Meskipun saat ini Microsoft mengklaim produk ini belum digunakan secara luas oleh mereka dan hanya beberapa pelanggan seperti Shopify dan TripAdvisor yang menerapkan, penting bagi semua pengguna NLWeb untuk segera memperbarui ke versi terbaru agar terhindar dari eksploitasi yang berpotensi merugikan secara finansial dan reputasi.
--------------------
Analisis Kami: Kesalahan mendasar seperti path traversal yang luput dari deteksi dalam protocol sekritis menunjukkan lemahnya proses audit keamanan klasi di Microsoft yang sudah seharusnya menjadi pusat perhatian dalam pengembangan AI. Ini mengingatkan bahwa, meskipun teknologi dan fitur AI terus berkembang, fondasi keamanan tradisional tidak boleh diabaikan karena konsekuensinya bisa jauh lebih besar di dunia AI.
--------------------
Analisis Ahli:
Aonan Guan: Kerentanan ini menunjukkan bahwa kesalahan klasik bisa membawa risiko yang jauh lebih besar di sistem AI modern karena potensi pencurian 'otak' agen yang mengakibatkan penggunaan API tanpa kontrol.
Ben Hope: Microsoft memastikan perbaikan sudah diterapkan dan pengguna yang mengadopsi repositori terbaru otomatis terlindungi, menunjukkan komitmen terhadap keamanan meski produk ini belum digunakan secara luas.
--------------------
What's Next: Jika tidak segera ditangani dengan serius, kerentanan serupa di protokol AI Microsoft atau teknologi sejenis dapat menyebabkan penyalahgunaan API yang berdampak pada keamanan data dan kerugian besar secara finansial serta rusaknya kepercayaan pengguna.
Referensi:
[1] https://theverge.com/news/719617/microsoft-nlweb-security-flaw-agentic-web

Pertanyaan Terkait

Q
Apa itu protokol NLWeb dan siapa yang mengembangkannya?
A
Protokol NLWeb adalah protokol yang dikembangkan oleh Microsoft untuk menyediakan pencarian mirip ChatGPT di situs web dan aplikasi.
Q
Kerentanan apa yang ditemukan dalam protokol NLWeb?
A
Kerentanan yang ditemukan adalah kerentanan traversal jalur yang memungkinkan penyerang membaca file sensitif dari server.
Q
Mengapa kerentanan ini dianggap serius?
A
Kerentanan ini dianggap serius karena bisa mengakibatkan kebocoran kunci API dan informasi sensitif lainnya yang penting bagi operasi AI.
Q
Apa langkah yang diambil Microsoft setelah kerentanan dilaporkan?
A
Microsoft telah memperbaiki kerentanan tersebut pada 1 Juli, tetapi belum mengeluarkan CVE untuk masalah ini.
Q
Mengapa penting bagi Microsoft untuk mengeluarkan CVE untuk kerentanan ini?
A
Penting bagi Microsoft untuk mengeluarkan CVE agar lebih banyak orang dapat mengetahui dan melacak perbaikan untuk kerentanan tersebut.

Artikel Serupa

Microsoft Luncurkan NLWeb: Solusi Mudah untuk Chatbot AI di Situs WebTechCrunch
Teknologi
3 bulan lalu
87 dibaca

Microsoft Luncurkan NLWeb: Solusi Mudah untuk Chatbot AI di Situs Web

Microsoft Luncurkan NLWeb, Cara Mudah Bikin Chatbot AI di Situs WebTechCrunch
Teknologi
3 bulan lalu
116 dibaca

Microsoft Luncurkan NLWeb, Cara Mudah Bikin Chatbot AI di Situs Web

NLWeb: Revolusi Baru Chatbot Terbuka untuk Web yang Lebih Cerdas dan MurahTheVerge
Teknologi
3 bulan lalu
116 dibaca

NLWeb: Revolusi Baru Chatbot Terbuka untuk Web yang Lebih Cerdas dan Murah

Microsoft Integrasikan Protokol AI MCP dan Windows AI Foundry untuk Windows Masa DepanTheVerge
Teknologi
3 bulan lalu
44 dibaca

Microsoft Integrasikan Protokol AI MCP dan Windows AI Foundry untuk Windows Masa Depan

Microsoft Siapkan Azure untuk Hosting AI Grok Elon Musk, Tantang OpenAITheVerge
Teknologi
3 bulan lalu
195 dibaca

Microsoft Siapkan Azure untuk Hosting AI Grok Elon Musk, Tantang OpenAI

Usulan Sistem Pelaporan Celah Keamanan AI untuk Lindungi Pengguna dan PenelitiWired
Teknologi
5 bulan lalu
72 dibaca

Usulan Sistem Pelaporan Celah Keamanan AI untuk Lindungi Pengguna dan Peneliti