Badacze bezpieczeństwa ostrzegają, że nawet chwilowe udostępnienie danych w internecie może prowadzić do ich trwałego zachowania w generatywnych chatbotach AI, takich jak Microsoft Copilot, nawet po tym, jak dane zostaną zabezpieczone.
Nowe badania przeprowadzone przez izraelską firmę Lasso, zajmującą się zagrożeniami związanymi z generatywną AI, pokazują, że tysiące niegdyś publicznych repozytoriów GitHub, należących do czołowych światowych firm, w tym Microsoftu, zostało dotkniętych tym zjawiskiem.
Ophir Dror, współzałożyciel Lasso, przekazał TechCrunch, że jego firma odkryła, iż treści z jej własnego repozytorium GitHub pojawiły się w Copilot, ponieważ zostały zaindeksowane i zapisane w pamięci podręcznej przez wyszukiwarkę Bing firmy Microsoft. Dror wyjaśnił, że repozytorium to, które przez pomyłkę zostało upublicznione na krótki czas, zostało następnie ustawione jako prywatne, a próba dostępu do niego na GitHubie kończyła się błędem „strona nieznaleziona”.
„Zaskakująco, w Copilot znaleźliśmy jedno z naszych prywatnych repozytoriów,” powiedział Dror. „Choć przeszukując internet nie natknąłbym się na te dane, każda osoba na świecie, zadając Copilot odpowiednie pytanie, mogłaby je uzyskać.”
Zrozumienie, że jakiekolwiek dane na GitHubie, nawet przez chwilę, mogą zostać ujawnione narzędziom takim jak Copilot, skłoniło Lasso do dalszych badań.
Firma zidentyfikowała listę repozytoriów, które były publiczne w jakimkolwiek momencie 2024 roku i określiła te, które zostały później usunięte lub ustawione jako prywatne. Korzystając z mechanizmu przechowywania w pamięci podręcznej Binga, Lasso odkryło, że ponad 20 000 repozytoriów, które stały się później prywatne, nadal miało dane dostępne przez Copilot, wpływając na ponad 16 000 organizacji.
Wśród poszkodowanych organizacji znalazły się takie giganty jak Amazon Web Services, Google, IBM, PayPal, Tencent i sam Microsoft. Według Lasso, w przypadku niektórych firm, Copilot mógł być skłoniony do zwrócenia poufnych archiwów GitHub zawierających własność intelektualną, wrażliwe dane korporacyjne, klucze dostępu i tokeny.
Lasso zauważyło, że użyło Copilot do odzyskania zawartości repozytorium na GitHubie — usuniętego przez Microsoft — które zawierało narzędzie umożliwiające tworzenie „ofensywnych i szkodliwych” obrazów AI przy użyciu usługi chmurowej Microsoft.
Dror powiedział, że Lasso skontaktowało się ze wszystkimi „poważnie dotkniętymi” przedsiębiorstwami, doradzając im rotację lub unieważnienie wszelkich skompromitowanych kluczy.
Żadna z firm wymienionych przez Lasso nie odpowiedziała na pytania TechCrunch. Microsoft również nie udzielił odpowiedzi na zapytania TechCrunch.
Lasso poinformowało Microsoft o swoich ustaleniach w listopadzie 2024 roku. Microsoft stwierdził, że uznał ten problem za „niskiej wagi”, uznając, że takie zachowanie pamięci podręcznej jest „akceptowalne”. Od grudnia 2024 roku Microsoft zaprzestał umieszczania linków do pamięci podręcznej Binga w wynikach wyszukiwania.
Jednak Lasso zwraca uwagę, że choć funkcja przechowywania w pamięci podręcznej została wyłączona, Copilot nadal miał dostęp do tych danych, mimo że nie były one widoczne w tradycyjnych wyszukiwaniach internetowych, co sugeruje, że wprowadzono jedynie tymczasowe rozwiązanie.