Lỗ hổng lạ khiến kho lưu trữ GitHub 'bí mật' bị Copilot AI phơi bày

Hàng ngàn kho lưu trữ GitHub riêng tư, chứa đựng những thông tin nhạy cảm như mã nguồn, thông tin đăng nhập và bí mật công ty, đang bị phơi bày thông qua Microsoft Copilot, trợ lý AI tạo sinh (GenAI) của Microsoft.

Theo báo cáo của công ty an ninh mạng Lasso, Copilot có khả năng truy xuất các kho lưu trữ GitHub đã được chuyển sang chế độ riêng tư, nếu trước đó chúng từng được công khai trong một khoảng thời gian ngắn. Điều này là do công cụ tìm kiếm Bing của Microsoft đã lập chỉ mục (indexing) những kho lưu trữ này, và Copilot vẫn có thể truy cập dữ liệu đã được lập chỉ mục, kể cả khi chúng không còn công khai trên GitHub.

Copilot có thể "soi" các kho lưu trữ GitHub ẩn.

Lasso đã tiến hành điều tra và phát hiện hơn 20.000 kho lưu trữ GitHub, thuộc về hàng chục nghìn tổ chức doanh nghiệp, trong đó có cả các "ông lớn" công nghệ, vẫn có thể bị truy cập thông qua Copilot. Điều này đặt ra nguy cơ lộ lọt thông tin nghiêm trọng, khi kẻ xấu có thể lợi dụng lỗ hổng này để truy cập vào mã nguồn, thông tin đăng nhập, hoặc các bí mật kinh doanh của các công ty.

Lasso cho biết họ đã sử dụng lỗ hổng này để truy xuất một kho lưu trữ GitHub chứa công cụ tạo hình ảnh AI "phản cảm và có hại" bằng dịch vụ đám mây AI của Microsoft. Điều này cho thấy lỗ hổng này có thể bị lợi dụng cho mục đích xấu.

Microsoft được cho là đã phản hồi về vấn đề này, cho rằng đây là "mức độ nghiêm trọng thấp" và hành vi lưu bộ nhớ đệm là "chấp nhận được". Tuy nhiên, Lasso khuyến cáo người dùng nên đổi hoặc thu hồi mã khóa để tránh bị lộ lọt thông tin.

Sự việc này đặt ra câu hỏi về trách nhiệm của các công ty công nghệ trong việc bảo vệ dữ liệu người dùng, đặc biệt là trong bối cảnh AI đang ngày càng được ứng dụng rộng rãi.

Bạch Ngân - TechRadar