Generatived (Beta) | Cung cấp tin tức và xu hướng mới nhất về AI sáng tạo

Microsoft đã tiết lộ hai lỗ hổng nghiêm trọng ảnh hưởng đến khung tác nhân AI Semantic Kernel, cảnh báo rằng việc chèn mã độc có thể leo thang thành thực thi mã tùy ý khi các tác nhân được kết nối với các công cụ và plugin bên ngoài. Các lỗ hổng này được theo dõi với mã CVE-2026-26030 và CVE-2026-25592.

Các nhà nghiên cứu đã chứng minh rằng một lời nhắc được tạo ra có thể thao túng một tác nhân AI thực thi logic Python độc hại thông qua cơ chế lọc In-Memory Vector Store của khung phần mềm. Vấn đề được cho là bắt nguồn từ việc sử dụng eval() không an toàn kết hợp với việc xác thực không đầy đủ các tham số do mô hình điều khiển.

Một lỗ hổng khác ảnh hưởng đến SessionsPythonPlugin trong .NET SDK, trong đó các chức năng tải xuống tập tin bị lộ cho phép kẻ tấn công ghi các tập tin bên ngoài môi trường sandbox đám mây biệt lập. Các nhà nghiên cứu bảo mật cho biết hành vi này có thể cho phép duy trì sự hiện diện thông qua việc thao tác thư mục Khởi động Windows.

Các bản phát hành Semantic Kernel được cập nhật hiện bao gồm xác thực AST nghiêm ngặt hơn, hạn chế việc tiếp xúc với công cụ và các biện pháp bảo vệ xác minh đường dẫn. Microsoft cũng khuyến cáo các tổ chức nên giám sát dữ liệu đo từ xa của thiết bị đầu cuối để phát hiện các tiến trình con đáng ngờ và điều tra hoạt động trong quá khứ trong các giai đoạn triển khai dễ bị tổn thương.