Написать пост

ИИ-помощник для программистов от Microsoft позволяет обойти лицензию GPL и выдаёт чужие ключи API

Аватар Андрей Борисов

Эксперт в области ИИ Алекса Шампандард обратил внимание, что Copilot тащит в проект действительные API-ключи из открытых репозиториев.

Мы уже рассказывали о GitHub Copilot, который помогает программистам писать код. Как оказалось, этот софт позволяет обойти лицензию  General Public License (GPL), поскольку цитирует большие куски проектов с открытым кодом.

Copilot не копирует код, а создаёт «производный продукт» — это значит, что проекты, написанные с помощью ИИ от Microsoft, можно распространять под лицензиеями Copyleft или AGPL. То есть изначальная лицензия GPL «вымывается» из ПО.

Есть «фича» и пострашнее. Эксперт в области ИИ Алекса Шампандард обратил внимание, что Copilot тащит в проект действительные API-ключи из открытых репозиториев.

Дело в том, что иногда пользователи пренебрегают безопасностью и оставляют секретную информацию в публичных репозиториях. А GitHub Copilot учился именно на них, поэтому конфиденциальная информация может случайно попасть в чужой код в качестве подсказки от ИИ.

В «проблемах с безопасностью» обвиняют GitHub Copilot: Microsoft скармливали репозитории без согласия их создателей. Но в этой истории есть и вина пользователей, которые оставляют секретную информацию в открытом доступе.

Так что в следующий раз несколько раз подумайте, прежде чем сохранять проект в публичном репозитории. Иначе могут случиться такие казусы.

Источник: SecurityLab

Следите за новыми постами
Следите за новыми постами по любимым темам
477 открытий479 показов