Olhar Digital > Internet e Redes Sociais > Microsoft sofre revés com falha grave em novo protocolo de IA

Microsoft sofre revés com falha grave em novo protocolo de IA

Pesquisadores da Microsoft corrigem falha grave em protocolo de IA que expunha chaves de API e dados sensíveis.
Maurício Thomaz06/08/2025 10h04
Sede da Microsoft em Bucareste, Romênia
Sede da Microsoft em Bucareste, Romênia (Créditos: lcva2 / iStock)
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email
Inteligência artificial
Tudo sobre Inteligência Artificial
ver mais

A Microsoft anunciou recentemente o protocolo NLWeb como parte de seu plano de “corrigir a web” com recursos avançados de Inteligência Artificial (IA). A promessa era levar buscas no estilo ChatGPT para qualquer site ou aplicativo, mas uma vulnerabilidade grave já foi descoberta antes mesmo da adoção em larga escala. As informações são do The Verge.

Pesquisadores identificaram que o NLWeb, usado por empresas como Shopify, Snowflake e TripAdvisor, estava vulnerável a uma falha de path traversal. Esse tipo de erro permite que qualquer pessoa com acesso à internet leia arquivos sensíveis do sistema, incluindo chaves de API de serviços como OpenAI e Gemini.

inteligência artificial
Plano da Microsoft teve falha de segurança (Créditos: WANAN YOSSINGKUM / iStock)

Como a falha afeta a segurança na IA?

O problema, segundo o pesquisador Aonan Guan, vai muito além de um simples vazamento de dados. Em agentes de IA, a exposição de um arquivo .env pode comprometer o “motor cognitivo” do sistema, permitindo que um invasor:

  • Roube chaves de API de modelos como GPT-4;
  • Abuse das APIs, gerando custos elevados;
  • Crie clones maliciosos do agente de IA;
  • Comprometa a capacidade de raciocínio e tomada de decisão do sistema.

Apesar de a Microsoft já ter lançado uma correção em 1º de julho, a empresa não atribuiu um CVE (padrão usado para catalogar vulnerabilidades), o que tem gerado críticas da comunidade de segurança. Pesquisadores defendem que a medida aumentaria a transparência e permitiria que usuários acompanhassem o status do problema.

Logo da Microsoft com resultados financeiros ao fundo
Microsoft foi acusada de não ter transparência (Imagem: Rokas Tenys/Shutterstock)

Microsoft promete reforço na segurança

Em nota ao site The Verge, a Microsoft afirmou que o código afetado não é utilizado em seus produtos e que usuários do repositório aberto estão protegidos. No entanto, especialistas alertam que quem utiliza o NLWeb precisa atualizar para a nova versão para evitar riscos.

Leia mais:

A descoberta reacende o debate sobre a pressa em lançar novas soluções de IA sem a devida atenção à segurança. Com o avanço do Model Context Protocol (MCP) no Windows, a Microsoft terá de equilibrar inovação e proteção para evitar falhas semelhantes no futuro.

Um homem segura na mão uma holografia de um cérebro com um chip de inteligência artificial
Microsoft terá de equilibrar inovação e proteção para evitar falhas semelhantes no futuro (Imagem: Shutter2U/iStock)
Maurício Thomaz
Colaboração para o Olhar Digital

Jornalista com mais de 13 anos de experiência, tenho faro pela audiência e verdadeira paixão em buscar alternativas mais assertivas para a entrega do conteúdo ao usuário.

Ícone tagsTags: