𝗦𝗵𝗮𝗺𝗯𝘂𝗹𝗶𝗼 𝗹𝗮 𝗔𝘂𝘁𝗼𝗝𝗮𝗰𝗸 𝗟𝗶𝗻𝗮𝘁𝘂𝗺𝗶𝗮 𝗨𝗱𝗵𝗮𝗶𝗳𝘂 𝗪𝗮 𝗔𝗜 𝗔𝗴𝗲𝗻𝘁𝘀
Watafiti wa Microsoft wamegundua udhaifu mpya wa usalama unaoitwa AutoJack.
Udhaifu huu unaathiri matoleo ya awali (pre-release) ya AutoGen Studio.
Ukurasa wa tovuti wenye nia mbaya unaweza kuchukua udhibiti wa AI agent. Kisha, agent huyo huendesha kodi kwenye kompyuta yako.
Shambulio hili hufanya kazi hivi:
- AI agent hutembelea tovuti mbaya.
- Tovuti hiyo inatumia udhaifu wa huduma ya WebSocket ya ndani (local WebSocket service).
- Mfumo unamuamini agent huyo kwa sababu unaendesha kwenye localhost.
- Imani hii inaruhusu tovuti hiyo kukwepa ukaguzi wa usalama.
Tatizo hili linaathiri matoleo ya AutoGen Studio 0.4.3.dev1 na 0.4.3.dev2.
Toleo la utulivu (stable version) 0.4.2.2 liko salama.
Ikiwa unatumia matoleo ya maendeleo (development builds), sasisha programu yako sasa hivi. Tumia toleo la hivi karibuni kutoka GitHub ili kurekebisha hili.
Tukio hili linaonyesha tatizo kubwa katika usalama wa AI. Mara nyingi tunawaamini kitu chochote kinachoendesha kwenye localhost. Wakati AI agents wanapotembelea mtandao, imani hii inakuwa hatari.
Watengenezaji lazima waache kutegemea imani rahisi. Unahitaji uthibitishaji (authentication) thabiti na orodha kali za amri kwa ajili ya vitendo vyote vya AI.
Jumuiya ya hiari ya kujifunza: https://t.me/GyaanSetuAi