Copilot раскрыл тысячи приватных GitHub-репозиториев

Эксперты по кибербезопасности предупреждают: данные, попавшие в интернет даже на короткое время, могут навсегда сохраниться в генеративных ИИ-чатах, таких как Microsoft Copilot.

Израильская компания Lasso, специализирующаяся на ИИ-угрозах, обнаружила, что тысячи ранее публичных GitHub-репозиториев остаются доступными через Copilot даже после того, как их удалили или сделали приватными.

В список пострадавших компаний вошли Microsoft, Google, AWS, IBM, PayPal, Tencent и другие.

Как это произошло?

Команда Lasso случайно сделала один из своих репозиториев публичным, но быстро вернула его в приватный режим. Однако позже, используя Copilot, специалисты неожиданно нашли его содержимое.

Причина — кеширование данных Bing, которое индексирует публичные страницы, а затем передает их в Copilot. Даже если репозиторий больше не существует или стал приватным, Copilot может извлекать его содержимое по правильному запросу.

Если бы я искал этот репозиторий в интернете, я бы его не нашел. Но любой человек, задавший правильный вопрос в Copilot, мог получить к нему доступ.

Офир ДрорCооснователь Lasso

20 000 утечек, 16 000 компаний

Lasso проанализировала все публичные репозитории GitHub за 2024 год, проверив, какие из них были удалены или переведены в приватный режим.

Оказалось, что свыше 20 000 репозиториев все еще доступны через Copilot, несмотря на то, что в GitHub они уже недоступны.

Среди утечек обнаружены:

• Исходные коды и внутренние инструменты крупных IT-компаний.
• Токены доступа, ключи API, конфиденциальные корпоративные данные.
• Инструмент Microsoft для генерации «вредоносных» ИИ-изображений (позже удален).

Как Microsoft отреагировала на проблему?

Lasso уведомила Microsoft о находке еще в ноябре 2024 года, но компания не сочла проблему серьезной.

В декабре 2024 года Microsoft отключила кеш Bing из поисковой выдачи, но Copilot по-прежнему имел доступ к этим данным.