İsrailli siber güvenlik şirketi Lasso, Microsoft’un Copilot yapay zekasında büyük bir veri sızıntısı riski bulunduğunu ortaya çıkardı. Rapora göre, özel olarak ayarlanmış GitHub depolarındaki geçmiş veriler hala Copilot aracılığıyla erişilebilir durumda. İşte detaylar…
Microsoft Copilot’ta 20 bin’den fazla özel GitHub deposu risk altında!
Lasso’nun yaptığı araştırmada, 2024 yılında yanlışlıkla kısa süreliğine halka açık hale getirilen bazı GitHub projelerinin, tekrar özel hale getirilmesine rağmen Copilot tarafından erişilebilir olmaya devam ettiği tespit edildi. Özellikle, Microsoft, Amazon AWS, Google, IBM, PayPal ve Tencent gibi 16 bin’den fazla büyük şirketin özel verilerinin risk altında olduğu bildirildi.
Bu açık nedeniyle, daha önce yanlışlıkla herkese açık hale getirilen şirketlerin kaynak kodları, API anahtarları ve diğer hassas bilgiler Microsoft’un Copilot yapay zeka sisteminde hala indekslenmiş durumda. Lasso’nun araştırmasına göre, Bing arama motorunun GitHub üzerindeki açık depoları indeksleme mekanizması, verilerin Copilot tarafından kalıcı olarak erişilebilir olmasına neden oluyor.
Microsoft, 2024 yılının Aralık ayında Bing’in önbelleğe alma sistemini devre dışı bırakmış olsa da, Lasso ekibi bunun yalnızca geçici bir çözüm olduğunu ve verilerin hala Copilot üzerinde bulunabildiğini belirtti. Bu arada, Microsoft, bu güvenlik açığını “düşük riskli bir sorun” olarak değerlendirdi ve sistemin çalışma prensibinin kabul edilebilir olduğunu savundu. Ancak, güvenlik uzmanları, şirketlerin hassas verilerinin izinsiz bir şekilde yapay zeka sistemlerinde bulunmasının ciddi güvenlik tehditleri oluşturduğunu söylüyor.
Şirketin bu durumu geçici bir güvenlik sorunu olarak görmesi, kurumsal kullanıcılar arasında daha da endişe yaratmış durumda. Söylenenlere göre eğer bu durum düzeltilmezse, gelecekte daha fazla şirketin özel verilerinin istemeden Copilot tarafından kullanılma riski devam edecek.
