- 19,462
- 40
- 8 Ноя 2022
Кеш Bing сохраняет удаленные данные тысяч компаний.
Данные, однажды попавшие в интернет, могут оставаться доступными в чат-ботах с ИИ, даже если их быстро скрыли. К такому выводу пришли специалисты израильской компании Lasso, занимающейся вопросами кибербезопасности и Для просмотра ссылки Войдиили Зарегистрируйся генеративного ИИ.
Исследователи Для просмотра ссылки Войдиили Зарегистрируйся , что информация из закрытых репозиториев на GitHub продолжает индексироваться и использоваться Microsoft Copilot. Среди затронутых компаний — Microsoft, Google, IBM, PayPal, Tencent и другие. Проблема связана с кешированием данных поисковой системой Bing, которая индексирует открытые репозитории, даже если они оставались доступными лишь короткое время.
Ситуация вскрылась, когда Lasso случайно сделала один из своих репозиториев публичным, а затем закрыла доступ. Однако, запрашивая данные через Copilot, исследователи обнаружили, что информация из удаленного репозитория остается доступной. Они проанализировали тысячи репозиториев и выяснили, что более 20 000 удаленных или скрытых хранилищ с данными остаются в кэше Bing и доступны через Copilot. Под удар попали более 16 000 организаций.
Опасность в том, что Copilot может выдавать конфиденциальную информацию, включая интеллектуальную собственность, корпоративные данные, ключи доступа и токены. Lasso также нашла в кэше инструмент Microsoft, позволяющий создавать «вредоносные и оскорбительные» изображения с использованием облачного ИИ.
Компания уведомила пострадавшие организации и рекомендовала сменить скомпрометированные ключи. Однако ни одна из компаний, включая Microsoft, не прокомментировала ситуацию. В ноябре 2024 года Lasso сообщила о проблеме Microsoft, но та классифицировала ее как «низкую угрозу» и сочла приемлемым поведение кэша.
Microsoft убрала ссылки на кеш Bing из поиска в декабре 2024 года, но Lasso утверждает, что проблема не устранена: данные все еще доступны в Copilot. Это указывает на временное, а не полноценное исправление ошибки.
Данные, однажды попавшие в интернет, могут оставаться доступными в чат-ботах с ИИ, даже если их быстро скрыли. К такому выводу пришли специалисты израильской компании Lasso, занимающейся вопросами кибербезопасности и Для просмотра ссылки Войди
Исследователи Для просмотра ссылки Войди
Ситуация вскрылась, когда Lasso случайно сделала один из своих репозиториев публичным, а затем закрыла доступ. Однако, запрашивая данные через Copilot, исследователи обнаружили, что информация из удаленного репозитория остается доступной. Они проанализировали тысячи репозиториев и выяснили, что более 20 000 удаленных или скрытых хранилищ с данными остаются в кэше Bing и доступны через Copilot. Под удар попали более 16 000 организаций.
Опасность в том, что Copilot может выдавать конфиденциальную информацию, включая интеллектуальную собственность, корпоративные данные, ключи доступа и токены. Lasso также нашла в кэше инструмент Microsoft, позволяющий создавать «вредоносные и оскорбительные» изображения с использованием облачного ИИ.
Компания уведомила пострадавшие организации и рекомендовала сменить скомпрометированные ключи. Однако ни одна из компаний, включая Microsoft, не прокомментировала ситуацию. В ноябре 2024 года Lasso сообщила о проблеме Microsoft, но та классифицировала ее как «низкую угрозу» и сочла приемлемым поведение кэша.
Microsoft убрала ссылки на кеш Bing из поиска в декабре 2024 года, но Lasso утверждает, что проблема не устранена: данные все еще доступны в Copilot. Это указывает на временное, а не полноценное исправление ошибки.
- Источник новости
- www.securitylab.ru
