4.2 C
Москва
Понедельник, 10 марта, 2025
ДомойНовости IT
Новости IT

Copilot раскрыл тысячи приватных GitHub-репозиториев — Tproger

21

Copilot раскрывал тысячи приватных GitHub-репозиториев из-за кеширования Bing. Данные компаний оставались доступны даже после удаления

Эксперты по кибербезопасности предупреждают: данные, попавшие в интернет даже на короткое время, могут навсегда сохраниться в генеративных ИИ-чатах, таких как Microsoft Copilot.

Израильская компания Lasso, специализирующаяся на ИИ-угрозах, обнаружила, что тысячи ранее публичных GitHub-репозиториев остаются доступными через Copilot даже после того, как их удалили или сделали приватными.

В список пострадавших компаний вошли Microsoft, Google, AWS, IBM, PayPal, Tencent и другие.

Как это произошло?

Команда Lasso случайно сделала один из своих репозиториев публичным, но быстро вернула его в приватный режим. Однако позже, используя Copilot, специалисты неожиданно нашли его содержимое.

Критическая «дыра» в GitLab позволяет запускать пайплайны с привилегиями любых пользователейtproger.ru

Причина — кеширование данных Bing, которое индексирует публичные страницы, а затем передает их в Copilot. Даже если репозиторий больше не существует или стал приватным, Copilot может извлекать его содержимое по правильному запросу.

Если бы я искал этот репозиторий в интернете, я бы его не нашел. Но любой человек, задавший правильный вопрос в Copilot, мог получить к нему доступ.Офир ДрорCооснователь Lasso

20 000 утечек, 16 000 компаний

Lasso проанализировала все публичные репозитории GitHub за 2024 год, проверив, какие из них были удалены или переведены в приватный режим.

Читать также:
Asus представила разъём питания BTF 2.0 для подачи на видеокарту до 1000 Вт без проводов

Оказалось, что свыше 20 000 репозиториев все еще доступны через Copilot, несмотря на то, что в GitHub они уже недоступны.

Среди утечек обнаружены:

  • Исходные коды и внутренние инструменты крупных IT-компаний.
  • Токены доступа, ключи API, конфиденциальные корпоративные данные.
  • Инструмент Microsoft для генерации «вредоносных» ИИ-изображений (позже удален).

Как Microsoft отреагировала на проблему?

Lasso уведомила Microsoft о находке еще в ноябре 2024 года, но компания не сочла проблему серьезной.

В декабре 2024 года Microsoft отключила кеш Bing из поисковой выдачи, но Copilot по-прежнему имел доступ к этим данным.

Предыдущая статья
Китайская сторона стремится сохранить контроль над рекомендательным алгоритмом TikTok при заключении сделки в США
Следующая статья
Nvidia починила видеокарты GeForce RTX 5000 — новые vBIOS и драйверы на подходе

Related Articles

НОВОЕ НА САЙТЕ

Планета интернета
Актуальные интересные статьи об интернете, IT, полезном софте, последние новости VPN, мобильных приложений и многое другое в ежедневных публикациях в нашем блоге.

© Browsecvpn.ru. Все права защищены.