𝗔𝘂𝘁𝗼𝗝𝗮𝗰𝗸 𝗔𝘁𝘁𝗮𝗰𝗸 𝗘𝘅𝗽𝗹𝗼𝗶𝘁𝘀 𝗔𝗜 𝗔𝗴𝗲𝗻𝘁𝘀
Các nhà nghiên cứu của Microsoft đã phát hiện một lỗ hổng bảo mật mới mang tên AutoJack.
Lỗ hổng này ảnh hưởng đến các phiên bản tiền phát hành của AutoGen Studio.
Một trang web độc hại có thể chiếm quyền điều khiển một AI agent. Sau đó, agent này sẽ thực thi mã trên máy tính của bạn.
Cuộc tấn công diễn ra như sau:
- Một AI agent truy cập vào một trang web độc hại.
- Trang web khai thác một dịch vụ WebSocket cục bộ.
- Hệ thống tin tưởng agent này vì nó chạy trên localhost.
- Sự tin tưởng này cho phép trang web vượt qua các bước kiểm tra bảo mật.
Vấn đề này ảnh hưởng đến các phiên bản AutoGen Studio 0.4.3.dev1 và 0.4.3.dev2.
Phiên bản ổn định 0.4.2.2 thì an toàn.
Nếu bạn đang sử dụng các bản build phát triển, hãy cập nhật phần mềm ngay lập tức. Hãy sử dụng phiên bản mới nhất từ GitHub để khắc phục lỗi này.
Sự kiện này cho thấy một vấn đề lớn trong bảo mật AI. Chúng ta thường tin tưởng bất cứ thứ gì chạy trên localhost. Khi các AI agent duyệt web, sự tin tưởng này trở nên nguy hiểm.
Các nhà phát triển phải từ bỏ cơ chế tin tưởng đơn thuần. Bạn cần có xác thực mạnh mẽ và danh sách lệnh nghiêm ngặt cho tất cả các hành động của AI.
Cộng đồng học tập tùy chọn: https://t.me/GyaanSetuAi