Exposing Microsoft's flawed code that lets attackers access files on your server
9 months ago
- #AI
- #vulnerability
- #security
- 微软在Build 2025大会上推出NLWeb(自然语言网络),使AI代理能够与网站交互。
- 研究人员关傲南和王雷在NLWeb开源框架中发现安全漏洞。
- 漏洞涉及`webserver/static_file_handler.py`文件中的路径遍历问题。
- 攻击者通过利用目录遍历序列(`../`)可访问敏感文件如`/etc/passwd`和`.env`。
- 微软通过验证文件路径和限制允许的文件扩展名修复了该问题。
- 该事件凸显了'代理网络'的安全风险及谨慎处理自然语言输入的必要性。