微软NLWeb协议漏洞暴露AI时代安全新危机

   当安全工程师在浏览器中输入一串刻意构造的错误URL时，服务器竟毫无保留地将.env配置文件吐了出来——其中赫然躺着几串OpenAI和Gemini的API密钥。这个如同魔术般的攻击场景，正是微软力推的NLWeb协议在2025年夏季遭遇的真实危机。距离微软在Build大会上高调宣布NLWeb作为‘智能网络的HTML’仅数周，这个旨在为任何网站赋予类ChatGPT搜索能力的新协议，就被曝出存在经典路径遍历漏洞。攻击者无需复杂渗透技术，只需访问一个畸形URL，便能读取服务器敏感文件，包括系统配置及大模型API密钥。

   安全研究人员AonanGuan与LeiWang在5月28日向微软提交漏洞报告，揭开了这场安全风暴的序幕。尽管微软在7月1日迅速发布修复补丁，却拒绝按行业规范分配CVE编号。微软发言人声称‘受影响代码未用于自有产品’，但使用开源代码库的客户仍需主动更新部署才能消除风险。这种矛盾态度引发业内质疑——当微软加速推进Windows对模型上下文协议（MCP）的原生支持时，安全是否已成为AI狂奔路上的牺牲品？

   对普通网站而言，.env文件泄露已是严重事故；但对依赖大模型的AI智能体，Guan将其形容为‘灾难性’打击。‘这些API密钥是智能体的认知引擎’，他解释道，‘攻击者窃取的不仅是凭证，更是智能体的思考、推理与行动能力’。一旦恶意者获得GPT-4等大模型的API密钥，既可制造天价账单，更能克隆出具有同等认知能力的恶意分身。现实案例已在眼前：Shopify、Snowflake等早期部署NLWeb的企业，在漏洞曝光后紧急启动密钥轮换，部分平台甚至出现API调用中断。

   更深层的矛盾在于AI系统的特性放大了传统漏洞的危害。宏庭科技的安全报告曾警示：开发者为图方便常将API密钥硬编码在程序中，甚至上传至公开Git仓库。当此类疏漏遭遇NLWeb的路径遍历漏洞，攻击者无需攻破密钥存储系统，直接通过URL路径操纵即可劫持AI‘大脑’。更令人忧虑的是，微软在Azure文档中明确推荐使用KeyVault保管密钥，其Edge浏览器扩展平台也采用动态密钥与72天短周期策略提升安全性，但这些最佳实践未能在NLWeb的早期设计中落地。

   技术圈开始重新审视AI时代的安全范式。路径遍历这类‘古典’漏洞在传统系统中可能导致数据泄露，但在AI代理架构中，它直接威胁到系统的认知核心。正如安全研究员所警示：‘我们需重新评估经典漏洞的影响——它们现在不仅能攻陷服务器，更能劫持AI的思考能力’。当TripAdvisor等企业借助NLWeb打造智能旅游助手时，未曾预料一次URL访问就可能让AI导游变成恶意导购。

   微软的当务之急是平衡创新与安全。动态密钥机制、环境变量加密存储、严格IP白名单等现有方案均可缓解风险，但根本在于将安全纳入AI协议的设计基因。随着黑客开始针对性扫描‘sk-**’特征的API密钥，那些仍将密钥明文写入配置文件的部署方式，无异于在数字战场裸奔。这场漏洞风暴恰似一记警钟：当AI获得思考能力时，守护它的不应是二十世纪的防火墙。