মাইক্রোসফটের উচ্চাভিলাষী “এজেন্টিক ওয়েব” পরিকল্পনা, যা এআই-চালিত ওয়েবসাইটের জন্য এনএলওয়েব প্রোটোকলের মাধ্যমে চ্যাটজিপিটি-এর মতো সার্চ ক্ষমতা প্রদানের প্রতিশ্রুতি দিয়েছিল, ইতিমধ্যেই একটি লজ্জাজনক নিরাপত্তা ত্রুটির সম্মুখীন হয়েছে। এই ত্রুটি, যা গবেষক আনান গুয়ান এবং লেই ওয়াং আবিষ্কার করেছেন, এনএলওয়েব প্রোটোকলের একটি পাথ ট্রাভার্সাল ত্রুটি যা যেকোনো রিমোট ব্যবহারকারীকে সংবেদনশীল ফাইল, যেমন সিস্টেম কনফিগারেশন ফাইল এবং এমনকি ওপেনএআই বা জেমিনি এপিআই কী, অ্যাক্সেস করতে দেয়। এই ত্রুটিটি এতটাই সহজ যে একটি ত্রুটিপূর্ণ ইউআরএল ব্যবহার করেই এটি শোষণ করা সম্ভব। মাইক্রোসফট ১ জুলাই, ২০২৫-এ এই ত্রুটির জন্য একটি প্যাচ প্রকাশ করেছে, কিন্তু এটি নিয়ে প্রশ্ন উঠেছে যে কেন এমন মৌলিক ত্রুটি তাদের নিরাপত্তা-কেন্দ্রিক প্রচেষ্টার মধ্যে ধরা পড়েনি।
এনএলওয়েব প্রোটোকলটি মাইক্রোসফট বিল্ড ২০২৫ সম্মেলনে উন্মোচিত হয়েছিল, যেখানে এটিকে “এজেন্টিক ওয়েবের জন্য এইচটিএমএল” হিসেবে বর্ণনা করা হয়। এটি শপিফাই, স্নোলেক এবং ট্রিপঅ্যাডভাইজারের মতো গ্রাহকদের সঙ্গে প্রাথমিকভাবে স্থাপন করা হচ্ছিল। কিন্তু মাত্র কয়েক সপ্তাহের মধ্যে, ২৮ মে, ২০২৫-এ গুয়ান এবং ওয়াং এই ত্রুটিটি মাইক্রোসফটের কাছে রিপোর্ট করেন। গুয়ান, যিনি ওয়াইজের একজন সিনিয়র ক্লাউড সিকিউরিটি ইঞ্জিনিয়ার, স্বাধীনভাবে এই গবেষণা পরিচালনা করেছেন। তিনি বলেন, “এই ঘটনা একটি গুরুত্বপূর্ণ স্মারক যে, এআই-চালিত নতুন সিস্টেম তৈরির সময় আমাদেরকে ক্লাসিক ত্রুটিগুলোর প্রভাব পুনর্মূল্যায়ন করতে হবে, যা এখন শুধু সার্ভার নয়, এআই এজেন্টদের ‘মস্তিষ্ক’কেও বিপন্ন করতে পারে।”
মাইক্রোসফট এই ত্রুটির জন্য ওপেন-সোর্স রিপোজিটরিতে প্যাচ প্রকাশ করেছে এবং দাবি করেছে যে তাদের পণ্যগুলোতে এই কোড ব্যবহৃত হয় না। মাইক্রোসফটের মুখপাত্র বেন হোপ দ্য ভার্জকে বলেন, “এই সমস্যাটি দায়িত্বশীলভাবে রিপোর্ট করা হয়েছিল এবং আমরা ওপেন-সোর্স রিপোজিটরি আপডেট করেছি। যারা এই রিপোজিটরি ব্যবহার করছেন, তারা স্বয়ংক্রিয়ভাবে সুরক্ষিত।” তবে গুয়ান সতর্ক করে বলেছেন, ব্যবহারকারীদের নতুন বিল্ড সংস্করণ টানতে এবং বিতরণ করতে হবে, নইলে পাবলিক-ফেসিং এনএলওয়েব ডিপ্লয়মেন্টগুলো এপিআই কী ধারণকারী .env ফাইল ফাঁসের জন্য ঝুঁকিপূর্ণ থাকবে।
গুয়ান আরও জানান, একটি সাধারণ ওয়েব অ্যাপ্লিকেশনে .env ফাইল ফাঁস গুরুতর হলেও, এআই এজেন্টের জন্য এটি “বিপর্যয়কর”। তিনি বলেন, “এই ফাইলগুলোতে জিপিটি-৪-এর মতো এলএলএম-এর জন্য এপিআই কী থাকে, যা এজেন্টের জ্ঞানীয় ইঞ্জিন। একজন আক্রমণকারী শুধু ক্রেডেনশিয়াল চুরি করে না; তারা এজেন্টের চিন্তা, যুক্তি ও কাজ করার ক্ষমতা চুরি করে, যা এপিআই অপব্যবহার বা ম্যালিশিয়াস ক্লোন তৈরির মাধ্যমে বিপুল আর্থিক ক্ষতির কারণ হতে পারে।”
এদিকে, মাইক্রোসফট এনএলওয়েবের জন্য কোনো সিভিই (কমন ভালনারেবিলিটিস অ্যান্ড এক্সপোজার) ইস্যু করেনি, যা নিরাপত্তা ত্রুটিগুলো শ্রেণিবদ্ধ করার শিল্প-মান। গুয়ান এবং ওয়াং এই সিভিই ইস্যু করার জন্য মাইক্রোসফটের উপর চাপ দিচ্ছেন, কারণ এটি আরও বেশি মানুষকে প্যাচ সম্পর্কে সতর্ক করবে এবং ট্র্যাকিং সহজ করবে। সিভিই-এর অনুপস্থিতি বড় উদ্যোগের জন্য সমস্যা সৃষ্টি করতে পারে, কারণ এটি স্বয়ংক্রিয় ভালনারেবিলিটি স্ক্যানিং এবং প্যাচ ম্যানেজমেন্ট সিস্টেমে অদৃশ্য থাকতে পারে।
মাইক্রোসফট উইন্ডোজে মডেল কনটেক্সট প্রোটোকল (এমসিপি)-এর নেটিভ সমর্থনও প্রচার করছে, যদিও গবেষকরা এর ঝুঁকি সম্পর্কে সতর্ক করেছেন। এনএলওয়েব ত্রুটি থেকে শিক্ষা নিয়ে মাইক্রোসফটকে নতুন এআই বৈশিষ্ট্য দ্রুত চালু করা এবং নিরাপত্তাকে সর্বোচ্চ অগ্রাধিকার দেওয়ার মধ্যে ভারসাম্য রক্ষা করতে হবে।
