Copilot не забывает: удаленные репозитории GitHub остаются доступными

Данные, однажды попавшие в интернет, могут оставаться доступными в чат-ботах с ИИ, даже если их быстро скрыли. К такому выводу пришли специалисты израильской компании Lasso, занимающейся вопросами кибербезопасности и угрозами генеративного ИИ.

Исследователи обнаружили , что информация из закрытых репозиториев на GitHub продолжает индексироваться и использоваться Microsoft Copilot. Среди затронутых компаний — Microsoft, Google, IBM, PayPal, Tencent и другие. Проблема связана с кешированием данных поисковой системой Bing, которая индексирует открытые репозитории, даже если они оставались доступными лишь короткое время.

Ситуация вскрылась, когда Lasso случайно сделала один из своих репозиториев публичным, а затем закрыла доступ. Однако, запрашивая данные через Copilot, исследователи обнаружили, что информация из удаленного репозитория остается доступной. Они проанализировали тысячи репозиториев и выяснили, что более 20 000 удаленных или скрытых хранилищ с данными остаются в кэше Bing и доступны через Copilot. Под удар попали более 16 000 организаций.

Опасность в том, что Copilot может выдавать конфиденциальную информацию, включая интеллектуальную собственность, корпоративные данные, ключи доступа и токены. Lasso также нашла в кэше инструмент Microsoft, позволяющий создавать «вредоносные и оскорбительные» изображения с использованием облачного ИИ.

Компания уведомила пострадавшие организации и рекомендовала сменить скомпрометированные ключи. Однако ни одна из компаний, включая Microsoft, не прокомментировала ситуацию. В ноябре 2024 года Lasso сообщила о проблеме Microsoft, но та классифицировала ее как «низкую угрозу» и сочла приемлемым поведение кэша.

Microsoft убрала ссылки на кеш Bing из поиска в декабре 2024 года, но Lasso утверждает, что проблема не устранена: данные все еще доступны в Copilot. Это указывает на временное, а не полноценное исправление ошибки.