Protokol AI NLWeb Microsoft Kena Celah Keamanan
Microsoft kembali menghadapi sorotan setelah peneliti keamanan menemukan celah kritis pada NLWeb, protokol baru yang diperkenalkan sebagai “HTML untuk Agentic Web.” Protokol ini dirancang untuk menghadirkan pencarian mirip ChatGPT di berbagai situs web atau aplikasi, dan mulai diuji bersama mitra seperti Shopify, Snowflake, dan TripAdvisor.
Celah tersebut memungkinkan situs web jahat mengeksploitasi cara kerja NLWeb untuk mengakses data pengguna atau mengambil alih interaksi antarmuka. Meski Microsoft telah mengklaim bahwa uji coba berlangsung dalam lingkungan terbatas, temuan ini menimbulkan kekhawatiran tentang kesiapan standar baru tersebut untuk diterapkan secara luas.
Apa Itu Fitur NLWeb Microsoft?
NLWeb dikembangkan sebagai standar baru untuk menghubungkan situs web dan aplikasi dengan agen AI. Fungsinya memungkinkan pengguna melakukan pencarian dan interaksi berbasis bahasa alami langsung dari halaman web, sehingga informasi dapat ditemukan dan dijalankan oleh agen AI secara lebih kontekstual.
Konsep ini diharapkan menjadi pondasi Agentic Web, di mana AI tidak hanya memberikan jawaban, tetapi juga dapat melakukan tindakan langsung di dalam situs atau aplikasi berdasarkan perintah pengguna.
Celah Keamanan yang Teridentifikasi di NLWeb
Tak lama setelah peluncurannya, peneliti keamanan independen Aonan Guan dan Lei Wang menemukan kelemahan path traversal pada NLWeb. Celah ini memungkinkan pihak luar membaca file sensitif, termasuk:
- File konfigurasi sistem
- Kunci API OpenAI atau Gemini yang menjadi “mesin berpikir” agen AI
Eksploitasi celah ini sangat sederhana, cukup dengan mengakses URL yang telah dimodifikasi. Meski Microsoft telah menambal masalah ini pada 1 Juli, para peneliti menyoroti bahwa kerentanan klasik seperti ini seharusnya dapat terdeteksi lebih awal, terutama dengan fokus baru Microsoft pada keamanan AI.
Pembaruan NLWeb untuk Antisipasi
Microsoft mengklaim bahwa kode yang terdampak tidak digunakan pada produk internalnya, namun tetap memperbarui repositori open-source NLWeb. Bagi pengguna NLWeb, langkah yang direkomendasikan adalah:
- Menarik versi build terbaru dari repositori resmi.
- Mengganti deployment publik dengan versi aman untuk menghindari kebocoran file .env.
Tanpa pembaruan ini, sistem yang terhubung dengan NLWeb berisiko tinggi mengalami pembacaan data sensitif tanpa autentikasi.
Potensi Dampak NLWeb bagi Sistem AI Lain
Kebocoran file .env pada aplikasi web biasa memang berbahaya, tetapi pada agen AI, risiko tersebut meningkat drastis. API key yang bocor berarti penyerang dapat:
- Mengambil alih fungsi berpikir dan pengambilan keputusan agen AI.
- Menyalahgunakan layanan API hingga menimbulkan kerugian finansial.
- Menciptakan klon agen AI yang berperilaku jahat.
Guan menyebut kondisi ini sebagai “katastrofik” karena implikasinya meluas, mulai dari penyalahgunaan identitas digital hingga manipulasi hasil kerja agen AI.
Tantangan Keamanan di Era AI
Kasus ini menjadi pengingat bahwa pengembangan sistem AI harus memperhitungkan kembali dampak dari kerentanan klasik. Pada teknologi seperti NLWeb, celah keamanan bukan hanya membahayakan server, tetapi juga kemampuan “kognitif” dari agen AI.
Microsoft sendiri tengah memperluas dukungan untuk Model Context Protocol (MCP) di Windows, meski para peneliti keamanan telah memperingatkan potensi risikonya. Dengan adanya kasus NLWeb, kecepatan pengembangan AI perlu diimbangi dengan prioritas keamanan yang lebih ketat.
Kesimpulan
Insiden celah keamanan NLWeb menunjukkan bahwa inovasi AI di web membawa tantangan baru bagi keamanan siber. Meskipun patch telah dirilis, kejadian ini menegaskan pentingnya deteksi dini dan pengujian menyeluruh sebelum peluncuran publik. Bagi pengembang dan pengguna awal teknologi seperti NLWeb, penerapan pembaruan keamanan secepat mungkin menjadi langkah wajib untuk mencegah risiko lebih besar di masa depan.
Ingin tahu update seputar tren digital lainnya? Temukan inspirasi teknologi harian di Instagram @Wesclic dan lihat bagaimana inovasi mendorong industri bergerak lebih maju.
Bila tertarik menerapkan solusi digital serupa, Webklik juga menyediakan layanan pembuatan website profesional yang dapat disesuaikan dengan kebutuhan bisnis atau instansi Anda. Hubungi langsung kami di WhatsApp untuk informasi lebih lanjut atau konsultasi layanan.
