#冬日生活打卡季#

快速导读

安全研究人员警告，短暂暴露于互联网的数据可能在生成式人工智能工具中长期存在，尤其是微软的Copilot。以色列网络安全公司Lasso的研究显示，全球多个大公司的GitHub代码库受到此问题影响，包括微软。Lasso的联合创始人Ophir Dror指出，其公司的GitHub代码库在短暂公开后，尽管已设为私密，仍能在Copilot中找到。调查发现，超过20,000个已设为私密的代码库仍可通过Copilot访问，影响超过16,000个组织。Lasso联系了多家受影响公司，建议更换被泄露的密钥。尽管微软将此问题视为低严重性，并停止了必应缓存链接的显示，Lasso认为问题依然存在，强调解决方案可能只是暂时的。

生成式人工智能中的数据暴露安全风险

安全研究人员对与暴露于互联网的数据相关的风险发出了警告，即便是短暂的暴露。这些数据在在线生成式人工智能聊天机器人中，比如微软的Copilot，可能会长期存在，即使其已被设为私密。以色列网络安全公司Lasso最近的研究发现，全球一些大型公司的数千个曾公开的GitHub代码库，包括微软，均受到这一问题的影响。

Lasso的联合创始人Ophir Dror在与TechCrunch的交流中表示，该公司发现其自身的GitHub代码库内容出现在Copilot中。这是因为该代码库曾被微软的必应搜索引擎索引并缓存。Dror解释说，该代码库在短时间内错误地被设置为公开，但在设为私密后，尝试在GitHub上访问时却出现了“页面未找到”的错误。“在Copilot上，令人惊讶的是，我们找到了我们自己的一个私密代码库，”Dror强调了这一情况的严重性。他进一步指出，“如果我在浏览网络，我是看不到这些数据的。但世界上任何人都可以向Copilot提出正确的问题并获得这些数据。”

数据暴露调查

在意识到任何在GitHub上的数据，即使是短暂公开的，也可能通过像Copilot这样的工具暴露后，Lasso进行了更深入的调查。该公司编制了一份在2024年任何时候曾公开的代码库列表，并识别出那些已被删除或设为私密的代码库。利用必应的缓存机制，Lasso发现超过20,000个已设为私密的GitHub代码库，其数据仍然可以通过Copilot访问。此问题影响了超过16,000个组织。

在向TechCrunch发布其发现之前，Lasso确定了几家受此数据暴露影响的组织，包括亚马逊云服务、谷歌、IBM、PayPal、腾讯和微软。在发布后，亚马逊澄清表示其未受到该问题影响。Lasso表示已“根据法律团队的建议删除了所有对AWS的引用”，并重申了其研究的有效性。

受影响公司的影响

对于一些受影响的公司而言，Copilot可能会被促使检索包含知识产权、敏感企业信息、访问密钥和令牌的机密GitHub档案。Lasso强调，它使用Copilot访问了一个由微软删除的GitHub代码库的内容，该库托管了一个使用微软云AI服务创建“攻击性和有害”AI图像的工具。Dror提到，Lasso已联系所有“受到严重影响”的公司，建议他们更换或撤销任何被泄露的密钥。

尽管存在这些担忧，Lasso识别的公司中没有一家对TechCrunch的询问作出回应，微软也未回复。Lasso在2024年11月通知微软其发现，但微软将该问题归类为“低严重性”，并表示缓存行为是“可接受的”。值得注意的是，自2024年12月起，微软停止在搜索结果中包含必应缓存的链接。尽管如此，Lasso坚称，即使禁用缓存功能，Copilot仍然可以访问这些数据，强调提供的解决方案可能只是暂时的。报告已更新，以包含亚马逊云服务和Lasso在发布后的评论。