微軟 Copilot 存重大數(shù)據(jù)泄露隱患，超 2 萬 GitHub 倉庫敏感信息面臨風險

IT之家 2 月 26 日消息，以色列網(wǎng)絡(luò)安全公司 Lasso 發(fā)現(xiàn)，即使開發(fā)者已將其 GitHub 倉庫設(shè)為私有，但其歷史數(shù)據(jù)仍可通過微軟 Copilot 進行訪問。

Lasso 聯(lián)合創(chuàng)始人 Ophir Dror 今日向 TechCrunch 透露，該漏洞已影響包括微軟、亞馬遜 AWS、谷歌、IBM、PayPal、騰訊等在內(nèi)的超 1.6 萬家機構(gòu)。

Lasso 發(fā)現(xiàn)，2024 年某公司一次誤操作將 GitHub 庫短暫設(shè)為公開，雖然立即改為私有（IT之家注：訪問會返回 404 錯誤），但其代碼庫仍可通過 Copilot 獲取，其中包含知識產(chǎn)權(quán)、企業(yè)敏感信息，甚至密鑰等。

進一步調(diào)查顯示，2024 年曾公開過的 GitHub 倉庫中，超 2 萬個已刪除或轉(zhuǎn)私有的倉庫數(shù)據(jù)仍存留于 Copilot 中。問題源于 Bing 搜索引擎對公開倉庫的索引和緩存機制。

盡管微軟在 2024 年 12 月停用了 Bing 緩存功能，但 Lasso 表示這只是臨時解決方案，Copilot 仍能訪問這些不應(yīng)公開的數(shù)據(jù)。微軟將此問題歸類為“低風險”，稱其緩存設(shè)定為“可接受”行為。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。