Az MI-s webforradalom csúnyán megbotlott a Microsoftnál
A Microsoft néhány hónapja nagy csinnadrattával mutatta be az Agentikus Web korszakának új protokollját, az NLWeb-et. Ezzel minden oldal vagy alkalmazás ChatGPT-szerű keresőkaput kaphatna, de már az indulás pillanatában súlyos hibát találtak benne a kutatók. A Shopify, Snowflake és TripAdvisor már kipróbálja az új rendszert, amikor kiderült: bárki olvashat érzékeny fájlokat, például rendszerkonfigurációkat, valamint OpenAI- vagy Gemini API-kulcsokat is.
Klasszikus hiba, modern veszély
A sérülékenység egy klasszikus könyvtárbejárási (path traversal) hiba volt. Kihasználása annyira egyszerű, hogy elegendő egy speciális URL-t meglátogatni, és már hozzá is lehet férni például az .env állományhoz. Ezek a fájlok nemcsak hitelesítő adatokat tartalmaznak, hanem MI-modellek, például a GPT–4 működéséhez szükséges API-kulcsokat is. Ha egy támadó hozzájut ezekhez, gyakorlatilag ellopja az ügynök „gondolkodását”, ami lehetőséget ad rosszindulatú klón készítésére, vagy API-visszaélés révén akár jelentős pénzügyi veszteséget is okozhat.
Javítás, de nincs figyelmeztetés
A sebezhetőséget május 28-án jelentették be, miután az NLWeb-et a nyilvánosságnak is bemutatták. A Microsoft július 1-jén ugyan kiadott egy javítást, de hivatalos CVE-figyelmeztetést nem adott ki, és nem is használja az érintett kódot saját termékeiben. A kutatók szerint azonban minden nyilvános NLWeb-telepítés sebezhető marad, amíg le nem töltik a frissített változatot.
A Microsoft eközben gőzerővel fejleszti az új MI-funkciókat, de a tempó miatt még a legalapvetőbb biztonsági hibák is átcsúsznak. Az ilyen esetek azt mutatják, hogy az MI fejlesztése során sokkal nagyobb hangsúlyt kellene fektetni a biztonságra, különben nemcsak szerverek, hanem az egész „ügynökagy” is sebezhetővé válhat.
✈ Végre megérkezett az a menüpont, amire mindenki vágyott: a United mostantól mutatja a beszállás előtti biztonsági ellenőrzések várakozási idejét az appban – vagyis, ha épp eszméletlenül hosszú sorok kígyóznak, pontosan tudhatod, mennyit fogsz unatkozni multitasking közben a poggyászoddal...
Japánban egyre komolyabban veszik a lebegő adatközpontok fejlesztését. A Mitsui OSK Lines (MOL) és a Hitachi most együttműködést kötött, hogy 2027-re egy használt hajóból alakítsanak ki egy úszó szerverfarmot, amely hűtéséhez tengervizet vagy folyóvizet használna...
Április 2. tele van fordulópontokkal: Florida első európai észlelése, a Falkland-háború kirobbanása, Haile Selassie trónra lépése és nagy port kavart terrortámadások, illetve merényletek formálták a világot...
Mitchell H. Katz, a New York-i egészségügyi óriás, a NYC Health + Hospitals vezérigazgatója szerint, ha mesterséges intelligencia végezné az elsődleges radiológiai értékeléseket, jelentős összegeket lehetne megtakarítani...
A pénzügyi világban új verseny bontakozik ki: a hagyományos nagybankok – a JPMorgan és a Goldman Sachs – egyre komolyabban fontolgatják, hogy belépnek az úgynevezett előrejelzési piacok területére...
Az amerikai Élelmiszer- és Gyógyszerügyi Hivatal (FDA) engedélyezte az Eli Lilly legújabb, GLP-1 típusú, szájon át szedhető gyógyszerét, a Foundayo-t...
🚽 2026 áprilisában négy űrhajós indul útnak a Hold felé az Artemis II-misszió keretében, és magukkal visznek egy olyan űrtoalettet, amely a szó szoros értelmében forradalmasítja az űrutazás komfortját...
🍫 Évtizedek óta rajonganak érte, de a Reese’s mogyoróvajas csészék (Reese’s Peanut Butter Cups) népszerűsége ellenére az utóbbi időben változtattak a recepten: néhány különleges alkalomra készült terméken, például a kis húsvéti tojásokon, csökkent a valódi csokoládé aránya, olcsóbb összetevőkkel helyettesítve azt...
Nyolc évvel ezelőtt indult útjára az 1.1.1.1 nyilvános DNS-feloldó, amelynek célja nem kevesebb volt, mint a világ leggyorsabb, a magánszférát tiszteletben tartó szolgáltatásának létrehozása...
