#双11国货换新装

快速导读安全研究人员警告称，在线生成性人工智能工具如微软Copilot可能会持久保存一瞬间暴露的数据。以色列网络安全公司Lasso的研究发现，全球多个大公司的数千个曾公开的GitHub代码库受到影响，包括微软的代码库。Lasso的联合创始人Ophir Dror表示，他们发现其私密代码库的内容出现在Copilot中，因其曾短暂公开并被Bing搜索引擎索引。Lasso进一步调查发现，超过20,000个已转为私密的代码库仍可通过Copilot访问，影响了16,000多个组织，包括亚马逊、谷歌和IBM。尽管Lasso已建议受影响公司更换受损的访问密钥，但微软将此问题视为“低严重性”，并停止了相关缓存链接的显示。Lasso认为，尽管禁用缓存，Copilot仍可访问这些数据，问题尚未完全解决。

在线人工智能工具的数据暴露风险

安全研究人员警告公众，互联网上暴露的数据，即便只是一瞬间，也可能在像微软Copilot这样的在线生成性人工智能聊天机器人中持续存在，远远超出数据被设为私密的时间。以色列网络安全公司Lasso的最新研究发现，全球一些最大公司的数千个曾公开的GitHub代码库受到影响，其中不乏微软自身的代码库。

Lasso的联合创始人Ophir Dror向TechCrunch透露，该公司发现其自身的GitHub代码库中的内容出现在Copilot中，原因是这些内容被微软的Bing搜索引擎索引和缓存。Dror解释说，该代码库曾在短时间内不小心被设为公开，但后来又被设为私密。当在GitHub上访问该代码库时，返回了“页面未找到”的错误。“令人惊讶的是，我们在Copilot中找到了我们自己的一个私密代码库，”Dror说道。“虽然我在浏览网络时不会看到这些数据，但全球任何人都可以查询Copilot并获取这些信息。”

数据暴露调查

意识到GitHub上的任何数据，即便是短暂可访问，也可能通过像Copilot这样的工具暴露后，Lasso决定进行更深入的调查。该公司编制了一份在2024年任何时候曾公开的代码库名单，识别出那些已被删除或转为私密状态的库。利用Bing的缓存机制，Lasso发现超过20,000个已转为私密的GitHub代码库，其数据仍可通过Copilot访问，影响了超过16,000个组织。受影响的知名公司包括亚马逊网络服务、谷歌、IBM、PayPal、腾讯和微软自身。

在发布研究之前，Lasso已告知TechCrunch这一情况，指出Copilot可能会揭示包含敏感企业数据、知识产权、访问密钥和某些受影响组织的令牌的机密GitHub档案。Lasso还提到，它成功使用Copilot从一个已被微软删除的GitHub代码库中检索到内容，该库曾托管一个使用微软云AI服务生成“攻击性和有害”AI图像的工具。

企业回应与发现

Dror表示，Lasso已联系所有受到数据暴露显著影响的组织，建议他们更换或撤销任何受损的访问密钥。然而，Lasso提到的公司均未对TechCrunch的询问作出回应，微软也未予回复。Lasso在2024年11月向微软通报了其发现，而微软将此问题归类为“低严重性”，声称这种缓存行为是“可接受的”。微软进一步表示，从2024年12月起，它已停止在搜索结果中包含指向Bing缓存的链接。

尽管如此，Lasso坚持认为，尽管缓存功能已被禁用，Copilot仍然可以访问这些数据，而这些数据在常规网络搜索中依然隐藏。这一情况表明，问题尚未完全解决，且代表着一种临时的修复。报告在发布后已更新了来自亚马逊网络服务和Lasso的评论。