微軟 Copilot 存重大數(shù)據(jù)泄露隱患，超 2 萬(wàn) GitHub 倉(cāng)庫(kù)敏感信息面臨風(fēng)險(xiǎn)

IT之家 2 月 26 日消息，以色列網(wǎng)絡(luò)安全公司 Lasso 發(fā)現(xiàn)，即使開(kāi)發(fā)者已將其 GitHub 倉(cāng)庫(kù)設(shè)為私有，但其歷史數(shù)據(jù)仍可通過(guò)微軟 Copilot 進(jìn)行訪問(wèn)。

Lasso 聯(lián)合創(chuàng)始人 Ophir Dror 今日向 TechCrunch 透露，該漏洞已影響包括微軟、亞馬遜 AWS、谷歌、IBM、PayPal、騰訊等在內(nèi)的超 1.6 萬(wàn)家機(jī)構(gòu)。

Lasso 發(fā)現(xiàn)，2024 年某公司一次誤操作將 GitHub 庫(kù)短暫設(shè)為公開(kāi)，雖然立即改為私有（IT之家注：訪問(wèn)會(huì)返回 404 錯(cuò)誤），但其代碼庫(kù)仍可通過(guò) Copilot 獲取，其中包含知識(shí)產(chǎn)權(quán)、企業(yè)敏感信息，甚至密鑰等。

進(jìn)一步調(diào)查顯示，2024 年曾公開(kāi)過(guò)的 GitHub 倉(cāng)庫(kù)中，超 2 萬(wàn)個(gè)已刪除或轉(zhuǎn)私有的倉(cāng)庫(kù)數(shù)據(jù)仍存留于 Copilot 中。問(wèn)題源于 Bing 搜索引擎對(duì)公開(kāi)倉(cāng)庫(kù)的索引和緩存機(jī)制。

盡管微軟在 2024 年 12 月停用了 Bing 緩存功能，但 Lasso 表示這只是臨時(shí)解決方案，Copilot 仍能訪問(wèn)這些不應(yīng)公開(kāi)的數(shù)據(jù)。微軟將此問(wèn)題歸類(lèi)為“低風(fēng)險(xiǎn)”，稱其緩存設(shè)定為“可接受”行為。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。