短暂公开的GitHub仓库仍可通过Copilot访问
以色列网络安全公司 Lasso 发现,曾经短暂公开的 GitHub 存储库即使设为私有,仍然可通过聊天机器人 Copilot 访问。Lasso 公司提取了2024年任何时间点都是公开的存储库列表,并识别出那些后来被删除或设置为私有的存储库。利用 Bing 的缓存机制,该公司发现超过两万个私有的 GitHub 存储库仍可通过 Copilot 访问数据,影响了超过 16,000 个组织。Lasso 表示,受影响的组织包括亚马逊云计算服务、谷歌、IBM、PayPal、腾讯和微软本身。对于一些受影响的公司,Copilot 可能被触发返回包含知识产权、敏感公司数据、访问密钥和令牌的机密 GitHub 存档。
发表回复