感谢热心读者提供的线索。近日,一家以色列网络安全公司发现,即便开发者已将其 GitHub 仓库设置为私有状态,其历史数据仍然可能通过微软旗下的 Copilot 工具被访问到。
据该公司联合创始人透露,这一漏洞已经影响了全球超过 1.6 万家机构,其中包括微软、亚马逊 AWS、谷歌、IBM、PayPal 和腾讯等知名企业。调查结果显示,问题的根源在于部分代码库曾因误操作短暂公开,尽管随后迅速恢复为私有状态(访问时会返回 404 错误),但相关代码及其包含的知识产权、敏感信息甚至密钥等内容,仍可通过 Copilot 被获取。
进一步分析表明,2024 年期间,超过 2 万个曾经公开过的 GitHub 仓库,在被删除或设为私有后,其数据仍然保留在 Copilot 的系统中。这种情况与 Bing 搜索引擎对公开仓库的索引和缓存机制密切相关。尽管微软已于 2024 年 12 月停止了 Bing 缓存功能,但网络安全公司指出,这只是临时措施,Copilot 依然能够访问这些本不应公开的数据。
微软方面将此问题定义为“低风险”,并表示其缓存行为属于“可接受范围”。然而,这一结论引发了业界对于数据隐私和安全性的广泛讨论。
新浪科技公众号
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
