ИИ-помощник для программистов от Microsoft позволяет обойти лицензию GPL и выдаёт чужие ключи API
Новости
Эксперт в области ИИ Алекса Шампандард обратил внимание, что Copilot тащит в проект действительные API-ключи из открытых репозиториев.
483 открытий525 показов
Мы уже рассказывали о GitHub Copilot, который помогает программистам писать код. Как оказалось, этот софт позволяет обойти лицензию General Public License (GPL), поскольку цитирует большие куски проектов с открытым кодом.
Copilot не копирует код, а создаёт «производный продукт» — это значит, что проекты, написанные с помощью ИИ от Microsoft, можно распространять под лицензиеями Copyleft или AGPL. То есть изначальная лицензия GPL «вымывается» из ПО.
Есть «фича» и пострашнее. Эксперт в области ИИ Алекса Шампандард обратил внимание, что Copilot тащит в проект действительные API-ключи из открытых репозиториев.
Дело в том, что иногда пользователи пренебрегают безопасностью и оставляют секретную информацию в публичных репозиториях. А GitHub Copilot учился именно на них, поэтому конфиденциальная информация может случайно попасть в чужой код в качестве подсказки от ИИ.
В «проблемах с безопасностью» обвиняют GitHub Copilot: Microsoft скармливали репозитории без согласия их создателей. Но в этой истории есть и вина пользователей, которые оставляют секретную информацию в открытом доступе.
Так что в следующий раз несколько раз подумайте, прежде чем сохранять проект в публичном репозитории. Иначе могут случиться такие казусы.
Источник: SecurityLab
483 открытий525 показов