Microsoft baru saja memperkenalkan protokol AI canggih bernama NLWeb di ajang Build beberapa waktu lalu. Protokol ini digadang-gadang sebagai “HTML-nya era Web AI,” yang memungkinkan fitur seperti ChatGPT muncul langsung di situs web atau aplikasi apa pun.
Baca Juga : Cara Bypass Account Microsoft untuk Laptop/PC Baru 100% Berhasil
Tapi belum lama meluncur, peneliti keamanan sudah menemukan celah kritis di dalamnya. Celah ini nggak main-main bisa dimanfaatkan untuk mengakses file rahasia, termasuk konfigurasi sistem dan bahkan kunci API layanan AI seperti OpenAI dan Gemini.
Celah Klasik
Celah yang ditemukan termasuk dalam kategori “path traversal”, yaitu teknik klasik yang memungkinkan peretas membaca file yang seharusnya tidak bisa diakses. Dan parahnya lagi, eksploitasi celah ini semudah membuka URL yang dimodifikasi sedikit.
Bayangkan saja: siapa pun yang tahu caranya bisa baca file .env dari jarak jauh file yang biasanya menyimpan kunci API atau konfigurasi sensitif lainnya.
Platform Besar Sudah Pakai NLWeb
Yang bikin situasi ini makin krusial, Microsoft sudah mulai uji coba NLWeb dengan beberapa nama besar seperti Shopify, Snowflake, dan TripAdvisor. Untungnya, Microsoft sudah merilis patch untuk menutup celah ini. Tapi tetap saja, banyak yang bertanya:
“Kok bisa celah sesederhana ini lolos dari pengujian keamanan Microsoft?”
Bisa Jadi Mimpi Buruk untuk AI
Aonan Guan, salah satu peneliti yang menemukan bug ini, menyebut celah tersebut sebagai potensi bencana untuk sistem AI. Menurutnya, kehilangan kunci API di dunia AI bukan cuma soal kredensial.
“Kalau kamu curi kunci API GPT-4 dari file .env, kamu bukan cuma nyolong data. Kamu nyolong otak digital si agen AI,” jelasnya.
Dengan kunci tersebut, penyerang bisa menyalahgunakan layanan AI, membuat agen palsu, bahkan memicu kerugian finansial besar akibat penyalahgunaan API.
Patch Sudah Ada
Celah ini dilaporkan ke Microsoft sejak 28 Mei 2025, tidak lama setelah NLWeb diperkenalkan. Microsoft baru memberikan tambalan pada 1 Juli 2025. Sayangnya, hingga kini mereka belum mengeluarkan CVE (Common Vulnerabilities and Exposures) untuk masalah ini padahal CVE penting untuk pelacakan dan penanganan di industri keamanan.
Microsoft berdalih bahwa kode yang terdampak tidak digunakan dalam produk mereka secara langsung, dan repo open-source-nya sudah diperbarui.
Namun, Guan mengingatkan:
“Pengguna NLWeb tetap harus menarik versi terbaru dari build. Kalau nggak, semua implementasi publik NLWeb masih bisa dibobol dengan mudah.”
Microsoft Harus Waspada
Di tengah euforia meluncurkan berbagai fitur AI baru, Microsoft juga tengah mengembangkan dukungan langsung untuk Model Context Protocol (MCP) di Windows. Tapi jika melihat kasus NLWeb ini, mereka perlu menyeimbangkan antara inovasi cepat dan prioritas keamanan.
Celah sederhana seperti ini menunjukkan bahwa sistem AI modern tetap bisa tumbang oleh bug klasik jika tidak diaudit secara menyeluruh.
Baca Juga : Model AI Baru dari OpenAI Resmi Dirilis, Gratis dan Lebih Pintar
Kesimpulan
Inovasi AI memang terus berkembang cepat, tapi jangan sampai lupa: keamanan harus jalan bareng dengan kecanggihan. Kasus NLWeb ini jadi pengingat penting bahwa satu celah kecil bisa berarti akses besar ke “otak” digital yang sangat sensitif.
Buat kamu yang ikut mengembangkan aplikasi AI atau pakai layanan berbasis AI di web, pastikan selalu:
- Update ke versi terbaru
- Audit file .env secara berkala
- Aktifkan lapisan keamanan tambahan
Karena dalam dunia AI, satu kunci API bisa jadi segalanya.
