IT之家 2 月 26 日消息,以色列網(wǎng)絡(luò)安全公司 Lasso 發(fā)現(xiàn),即使開(kāi)發(fā)者已將其 GitHub 倉(cāng)庫(kù)設(shè)為私有,但其歷史數(shù)據(jù)仍可通過(guò)微軟 Copilot 進(jìn)行訪問(wèn)。
Lasso 聯(lián)合創(chuàng)始人 Ophir Dror 今日向 TechCrunch 透露,該漏洞已影響包括微軟、亞馬遜 AWS、谷歌、IBM、PayPal、騰訊等在內(nèi)的超 1.6 萬(wàn)家機(jī)構(gòu)。
Lasso 發(fā)現(xiàn),2024 年某公司一次誤操作將 GitHub 庫(kù)短暫設(shè)為公開(kāi),雖然立即改為私有(IT之家注:訪問(wèn)會(huì)返回 404 錯(cuò)誤),但其代碼庫(kù)仍可通過(guò) Copilot 獲取,其中包含知識(shí)產(chǎn)權(quán)、企業(yè)敏感信息,甚至密鑰等。
進(jìn)一步調(diào)查顯示,2024 年曾公開(kāi)過(guò)的 GitHub 倉(cāng)庫(kù)中,超 2 萬(wàn)個(gè)已刪除或轉(zhuǎn)私有的倉(cāng)庫(kù)數(shù)據(jù)仍存留于 Copilot 中。問(wèn)題源于 Bing 搜索引擎對(duì)公開(kāi)倉(cāng)庫(kù)的索引和緩存機(jī)制。
盡管微軟在 2024 年 12 月停用了 Bing 緩存功能,但 Lasso 表示這只是臨時(shí)解決方案,Copilot 仍能訪問(wèn)這些不應(yīng)公開(kāi)的數(shù)據(jù)。微軟將此問(wèn)題歸類(lèi)為“低風(fēng)險(xiǎn)”,稱其緩存設(shè)定為“可接受”行為。
廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。