Auf Tausende von offengelegten GitHub-Repos, die jetzt privat sind, kann weiterhin über Copilot zugegriffen werden

Sicherheitsforscher warnen davor, dass Daten, die auch nur für einen kurzen Moment dem Internet zugänglich sind, in Online-Chatbots mit generativer KI wie Microsoft Copilot noch lange nach der Freigabe für vertrauliche Daten vorhanden sein können.

Tausende einst öffentliche GitHub-Repositories einiger der weltweit größten Unternehmen, darunter auch Microsoft, sind betroffen. Dies geht aus neuen Erkenntnissen von Lasso hervor, einem israelischen Cybersicherheitsunternehmen, das sich auf neu auftretende Bedrohungen durch generative KI konzentriert.

Lasso-Mitbegründer Ophir Dror sagte gegenüber TechCrunch, dass das Unternehmen festgestellt habe, dass Inhalte aus seinem eigenen GitHub-Repository in Copilot auftauchten, weil sie von Microsofts Suchmaschine Bing indexiert und zwischengespeichert worden seien. Dror sagte, das Repository, das irrtümlicherweise für einen kurzen Zeitraum öffentlich gemacht worden war, sei inzwischen auf privat gesetzt worden, und der Zugriff darauf auf GitHub habe die Fehlermeldung „Seite nicht gefunden“ zurückgegeben.

„Überraschenderweise haben wir auf Copilot eines unserer eigenen privaten Repositories gefunden“, sagte Dror. „Wenn ich im Internet surfen würde, würde ich diese Daten nicht sehen. Aber jeder auf der Welt könnte Copilot die richtige Frage stellen und diese Daten erhalten.“

Als Lasso erkannte, dass sämtliche Daten auf GitHub, selbst kurzzeitig, potenziell durch Tools wie Copilot offengelegt werden könnten, untersuchte das Unternehmen die Angelegenheit weiter.

Lasso extrahierte eine Liste von Repositories, die zu irgendeinem Zeitpunkt im Jahr 2024 öffentlich waren, und identifizierte die Repositories, die inzwischen gelöscht oder auf privat gesetzt wurden. Mithilfe des Caching-Mechanismus von Bing fand das Unternehmen heraus, dass mehr als 20.000 inzwischen privat gewordene GitHub-Repositories noch immer Daten enthielten, die über Copilot zugänglich waren, was mehr als 16.000 Organisationen betraf.

Zu den betroffenen Organisationen gehören laut Lasso Amazon Web Services, Google, IBM, PayPal, Tencent und Microsoft selbst. Bei einigen betroffenen Unternehmen könnte Copilot aufgefordert werden, vertrauliche GitHub-Archive zurückzugeben, die geistiges Eigentum, sensible Unternehmensdaten, Zugangsschlüssel und Token enthalten, teilte das Unternehmen mit.

Lasso merkte an, dass es Copilot verwendete, um den Inhalt eines GitHub-Repositorys abzurufen – das inzwischen von Microsoft gelöscht wurde –, das ein Tool hostete, das die Erstellung „anstößiger und schädlicher“ KI-Bilder mithilfe des Cloud-KI-Dienstes von Microsoft ermöglichte .

Dror sagte, Lasso habe alle betroffenen Unternehmen kontaktiert, die von der Datenfreigabe „schwer betroffen“ seien, und ihnen geraten, alle kompromittierten Schlüssel zu rotieren oder zu widerrufen.

Keines der von Lasso genannten betroffenen Unternehmen antwortete auf die Fragen von TechCrunch. Auch Microsoft antwortete nicht auf die Anfrage von TechCrunch.

Lasso informierte Microsoft im November 2024 über seine Ergebnisse. Microsoft teilte Lasso mit, dass es das Problem als „niedrigen Schweregrad“ einstufte und dieses Caching-Verhalten als „akzeptabel“ bezeichnete. Ab Dezember 2024 nahm Microsoft keine Links zum Cache von Bing mehr in seine Suchergebnisse auf.

Lasso gibt jedoch an, dass Copilot trotz deaktivierter Caching-Funktion weiterhin Zugriff auf die Daten hatte, auch wenn diese bei herkömmlichen Websuchen nicht sichtbar waren, was auf eine vorübergehende Lösung hindeutet.