Microsofts ambition, die Web-Entwicklung mit KI zu revolutionieren, stößt bereits auf ein schwerwiegendes Sicherheitsproblem. Kurz nach der Vorstellung des neuen NLWeb-Protokolls auf der Build-Konferenz im Frühjahr 2024 wurde eine kritische Sicherheitslücke entdeckt, die das Fundament dieser neuen KI-Infrastruktur untergräbt. NLWeb, das als „HTML für das agente Web“ beworben wird, soll Websites und Anwendungen mit ChatGPT-ähnlichen Such- und Interaktionsfunktionen ausstatten. Bereits in frühen Implementierungsphasen bei Kunden wie Shopify, Snowflake und TripAdvisor zeigte sich die Schwäche: Ein klassischer Pfad-Traversierungsfehler ermöglicht es jedem Remote-Nutzer, sensible Dateien wie Systemkonfigurationen oder sogar API-Schlüssel für OpenAI und Gemini zu lesen – einfach durch die Eingabe einer manipulierten URL. Die Sicherheitsforscher Aonan Guan und Lei Wang meldeten den Fehler am 28. Mai 2024, knapp nach der offiziellen Vorstellung. Microsoft reagierte mit einem Patch am 1. Juli, doch verweigerte bislang die Ausgabe einer CVE (Common Vulnerabilities and Exposures), was die Sichtbarkeit und Nachverfolgbarkeit des Problems erheblich einschränkt. Guan, Senior Cloud Security Engineer bei Wyze, betont, dass die Lücke nicht nur technisch elementar ist, sondern besonders gefährlich im Kontext von KI-Agenten: „Ein Angreifer stiehlt nicht nur einen Zugang – er nimmt dem KI-Agenten seine Fähigkeit zu denken, zu analysieren und zu agieren.“ Die .env-Dateien enthalten die kritischen API-Schlüssel für Modelle wie GPT-4, die als kognitive Engine der Agenten fungieren. Die Entnahme dieser Schlüssel könnte zu massiven Kosten durch Missbrauch der KI-APIs oder sogar zur Erstellung von bösartigen Klonen führen. Microsoft erklärte, dass der betroffene Code in eigenen Produkten nicht verwendet werde und Kunden, die die Open-Source-Version nutzen, automatisch geschützt seien. Allerdings weist Guan darauf hin, dass Nutzer unbedingt eine neue Build-Version ziehen und bereitstellen müssen, um die Lücke zu schließen. Die fehlende CVE wirft Fragen zur Transparenz und zum Sicherheitsansatz von Microsoft auf, besonders in Zeiten, in denen die Firma mit der Integration von KI in Windows – etwa über das Model Context Protocol (MCP) – massiv voranschreitet. Auch MCP ist bereits von Sicherheitsforschern kritisiert worden. Die Episode unterstreicht ein zentrales Dilemma: Während Microsoft mit großer Geschwindigkeit neue KI-Features auf den Markt bringt, scheint die Sicherheit oft hinterherzuhinken. Der Fall zeigt, dass klassische Schwachstellen wie Pfad-Traversierung in KI-Systemen nicht nur Server gefährden, sondern die gesamte KI-Architektur – inklusive der kognitiven Fähigkeiten der Agenten – in Gefahr bringen können. Für die Branche ist dies eine dringende Warnung: Innovation darf nicht auf Kosten von Sicherheit gehen.