Thousands of exposed GitHub repos, now private, can still be accessed through Copilot | TechCrunch
セキュリティ研究者たちは、インターネットに一瞬でも公開されたデータが、Microsoft Copilotのようなオンライン生成AIチャットボットに長期間残る可能性があると警告しています。特に、世界の大手企業のGitHubリポジトリが影響を受けており、イスラエルのサイバーセキュリティ企業Lassoの調査によると、20,000以上のプライベートになったリポジトリがCopilotを通じてアクセス可能であることが判明しました。
Lasso によると、影響を受ける組織には、影響を受けた企業は、Amazon Web Services、Google、IBM、PayPal、Tencent、Microsoft自身などが含まれる。
これらびは、一時的に公開されていたリポジトリから、知的財産や機密データ、アクセスキー、トークンがCopilotを通じて要求される可能性があるという。Lassoは、2024年に一度でも公開されたリポジトリのリストを抽出し、削除またはプライベートに設定されたリポジトリを特定しました。データ漏洩によって「深刻な影響を受けた」すべての被害企業に連絡を取り、侵害された鍵をローテーションするか取り消すよう助言したと述べた。
Microsoftはこの問題を「低い重大性」と分類し、Bingのキャッシュへのリンクを検索結果から除外したと述べていますが、Copilotは依然としてデータにアクセスできる状態です。
Lassoが名指しした影響を受けた企業はいずれもTechCrunchの質問には回答しなかった。MicrosoftもTechCrunchの問い合わせには回答しなかった。
