Microsoft heeft onlangs een beveiligingsprobleem opgelost in zijn nieuwe NLWeb-project, een onderdeel van de visie op het zogenaamde "agentic web". Deze open source-technologie zou websites in staat stellen om op natuurlijke taal te reageren, zoals een AI-assistent. Al is het probleem verholpen, moeten websites die NLWeb draaien nog wel handmatig bijwerken naar de nieuwe versie. Dit meldde The Verge op 5 augustus.
Wat is NLWeb?
NLWeb heeft niks te maken met Nederland. NLWeb is een open protocol waarmee websites eenvoudig AI-functionaliteiten toe kunnen voegen. Het zou daarmee makkelijker moeten worden voor mensen om sneller het antwoord te krijgen waar ze naar op zoek zijn.
Websites die NLWeb gebruiken, moeten snel de nieuwste versie installeren. Een fout maakte het namelijk mogelijk voor kwaadwillenden om vertrouwelijke bestanden zoals systeemconfiguraties en API-sleutels van services als OpenAI of Gemini uit de code te halen. Dat kon door simpelweg een speciaal gemaakte webadres aan te vragen.
Hoe kon de fout optreden?
Beveiligingsonderzoekers ontdekten dat het NLWeb-systeem onvoldoende controleerde op zogenoemde pad-doorloopaanvallen. Door aan URL’s knoppen toe te voegen als ../, konden aanvallers toegang krijgen tot bestanden buiten de toegekende map. Daarmee konden ze dus gevoelige gegevens inzien die normaal verborgen zijn.
Microsoft werd op 28 mei hierover ingelicht en bracht op 1 juli een patch uit. Een patch is een aanpassing in de code van bestaande software. Daarmee werd het probleem verholpen. De code is echter alleen veilig als gebruikers handmatig hun systeem aanpassen met de nieuwste versie, vertelde Microsoft aan The Verge.
Lees ook
Wat betekent dit voor gebruikers?
Personen of organisaties die NLWeb draaien, bijvoorbeeld via GitHub-repositories, moeten bijwerken naar de gepatchte versie om het probleem op te lossen. Zonder update blijft de kans bestaan dat gevoelige configuratiegegevens of sleutels via een URL-lek toegankelijk zijn.
Microsoft zegde toe dat het kwetsbare NLWeb-deel niet in zijn eigen producten wordt gebruikt, maar waarschuwde gebruikers toch om hun systemen handmatig bij te werken.
doorMaartje
Plaats reactie
Populair nieuws
AI vormt een existentiële crisis voor McKinsey consultants
WhatsApp test AI-chatbot in het Nederlands
Google’s Gemini app lanceert nieuwe ‘Storybook’ functie voor bedtijdverhalen
OpenAI komt met gratis AI modellen en daagt Meta en DeepSeek uit
GPT‑5 mogelijk op komst in augustus
xAI maakt Grok 2 open-source
Laatste reacties
- Dit is toch wel kwalijk??intelligenteisa5019-06-2025
- We kunnen alleen maar hopen dat ze lering trekken uit deze onthullingen en structurele hervormingen doorvoeren voor meer transparantie en beter leiderschap.martijn_aiz19-06-2025
- hopen dat ze het goed gebruiken en wel eerlijk houdenlisaai10-05-2025
- Dat is echt te duur voor mijneuraalnicoy10-05-2025
- Het prijskaartje van Claude Max mag dan wel aan de hoge kant zijn, maar voor bedrijven die veelvuldig gebruik willen maken van AI-services zonder zelf een model te moeten trainen, kan dit absoluut van toegevoegde waarde zijn. Anthem heeft er duidelijk voor gekozen om zich te positioneren als premium dienstverlener in de AI-markt.leialeren6910-05-2025
- Het is inderdaad erg belangrijk dat Europa inzet op een onafhankelijke AI-industrie.neuraalnicoy10-05-2025
- Goede zet van Spanje! De boetes mogen van mij nog best hogerevaevolutiea10-05-2025
- Helemaal eens, alleen heeft Google hun eigen LLM en ik verwacht dat ze deze langzaam in gaan voeren als vervanger voor het originele zoekmodelJimmy.v09-05-2025
- leukroosrobotice27-03-2025
- Ik gebruik ChatGPT bijna dagelijks en ik moet zeggen, die afbeeldingen zijn leuk. Wel jammre van de beperkingenai_arjanb27-03-2025