دسترسی به هزاران مخزن خصوصی شده گیت‌هاب از طریق کوپایلوت: رازهای پنهان در دنیای کدنویسی!

تحقیقات امنیتی نشان می‌دهد که داده‌های موجود در اینترنت، حتی برای مدت زمانی کوتاه، می‌توانند در چت‌بات‌های هوش مصنوعی مانند Microsoft Copilot باقی بمانند. این موضوع نگرانی‌های جدی در خصوص حریم خصوصی و امنیت داده‌ها ایجاد کرده است.

به تازگی یافته‌های جدیدی از شرکت امنیت سایبری Lasso، که تمرکز آن بر تهدیدات نوظهور هوش مصنوعی است، نشان می‌دهد که هزاران مخزن عمومی GitHub از بزرگ‌ترین شرکت‌های جهان، از جمله مایکروسافت، تحت تأثیر این مشکل قرار دارند.

اخطار Lasso در مورد حریم خصوصی داده‌ها:

• مخازن عمومی: محتوای برخی مخازن GitHub که به اشتباه به صورت عمومی منتشر شده بودند، به صورت ناخواسته در Copilot ظاهر شده است.
• داده‌های ذخیره شده: این داده‌ها حتی پس از خصوصی شدن مخازن همچنان از طریق ابزارهایی مانند Copilot قابل دسترسی هستند.
• تأثیر بر شرکت‌ها: بیش از 16,000 سازمان تحت تأثیر این مشکل قرار دارند که شامل شرکت‌های بزرگی مانند Amazon Web Services، Google، IBM، PayPal و Tencent می‌شود.

اوپیر درور، یکی از بنیان‌گذاران Lasso، به TechCrunch گفت که این شرکت متوجه شد که محتوای یکی از مخازن GitHub خودشان که به طور موقت عمومی شده بود، در Copilot نمایان شده است. او گفت: “اگر به دنبال این داده‌ها در وب می‌گشتم، نمی‌توانستم آن را پیدا کنم. اما هر کسی در جهان می‌تواند با پرسش صحیح از Copilot، به این داده‌ها دسترسی پیدا کند.”

پس از این کشف، Lasso تحقیق بیشتری انجام داد و لیستی از مخازن عمومی که در هر نقطه از سال 2024 وجود داشتند، تهیه کرد. این شرکت همچنین مخازنی که به تازگی حذف یا خصوصی شده بودند را شناسایی کرد. با استفاده از مکانیزم کشینگ Bing، Lasso متوجه شد که بیش از 20,000 مخزن GitHub خصوصی هنوز هم از طریق Copilot قابل دسترسی هستند.

پیامدهای جدی برای شرکت‌ها:

• برخی از شرکت‌های تحت تأثیر ممکن است با خطر افشای داده‌های حساس مانند کدهای دسترسی و توکن‌ها مواجه شوند.
• Lasso همچنین از Copilot برای بازیابی محتوای یک مخزن GitHub که توسط مایکروسافت حذف شده بود، استفاده کرده است. این مخزن ابزاری را برای ایجاد تصاویر “تخریبی و مضر” با استفاده از سرویس هوش مصنوعی مایکروسافت میزبانی می‌کرد.
• درور گفت که Lasso به تمامی شرکت‌های تحت تأثیر که “به شدت تحت تأثیر” قرار گرفته بودند، اطلاع‌رسانی کرده و به آنها توصیه کرده است که کلیدهای آسیب‌دیده را تغییر دهند یا لغو کنند.

به رغم تأثیرات جدی این مشکل، هیچ‌یک از شرکت‌های تحت تأثیر نام برده شده توسط Lasso به سؤالات TechCrunch پاسخ ندادند. مایکروسافت نیز به این پرسش‌ها پاسخ نداد.

Lasso در نوامبر 2024 یافته‌های خود را به مایکروسافت اطلاع داد. مایکروسافت به Lasso گفت که این مشکل را به عنوان “شدت کم” طبقه‌بندی کرده و اظهار داشت که این رفتار کشینگ “قابل قبول” است. از دسامبر 2024، مایکروسافت دیگر لینک‌های کش Bing را در نتایج جستجوی خود درج نکرد.

نتیجه‌گیری: با وجود اینکه Lasso می‌گوید ویژگی کشینگ غیرفعال شده است، اما Copilot هنوز به داده‌ها دسترسی دارد، که نشان‌دهنده یک راه‌حل موقتی است.