Hàng triệu kho lưu trữ GitHub riêng tư hiện đang đối mặt với nguy cơ bị rò rỉ thông tin nhạy cảm, bao gồm mã nguồn, thông tin đăng nhập và bí mật của các công ty. Nguyên nhân chính là do Microsoft Copilot, trợ lý AI tạo sinh của Microsoft, đã vô tình phơi bày những dữ liệu này trong quá trình hoạt động. Sự cố này không chỉ tạo ra lo ngại về an ninh mạng mà còn đặt ra thách thức lớn cho các doanh nghiệp trong việc bảo vệ thông tin quan trọng của mình.
Theo thông tin từ công ty an ninh mạng Lasso, Copilot có khả năng truy cập các kho lưu trữ GitHub đã được chuyển sang chế độ riêng tư, miễn là trước đó chúng đã từng được công khai trong một khoảng thời gian nhất định. Nguyên nhân của điều này là do công cụ tìm kiếm Bing của Microsoft đã lập chỉ mục những kho lưu trữ này. Vì vậy, Copilot vẫn có thể truy xuất dữ liệu đã được lập chỉ mục mặc dù hiện tại chúng không còn hiển thị công khai trên GitHub.
Lasso vừa hoàn thành một cuộc điều tra và phát hiện hơn 20.000 kho lưu trữ trên GitHub, liên quan đến hàng chục nghìn tổ chức doanh nghiệp, bao gồm cả những tên tuổi lớn trong ngành công nghệ. Đáng lo ngại là các kho lưu trữ này vẫn có thể bị truy cập thông qua Copilot. Tình huống này mở ra nguy cơ lớn về việc lộ thông tin, khi kẻ xấu có khả năng khai thác lỗ hổng để lấy cắp mã nguồn, thông tin đăng nhập hoặc các bí mật kinh doanh quan trọng của các công ty.
Lasso đã công bố việc khai thác lỗ hổng bảo mật để truy cập vào một kho lưu trữ GitHub, nơi chứa công cụ tạo hình ảnh AI với nội dung "phản cảm và có hại" do dịch vụ đám mây của Microsoft cung cấp. Sự việc này phản ánh nguy cơ tiềm ẩn của lỗ hổng, với khả năng bị lạm dụng cho những mục đích tiêu cực.
Microsoft đã đưa ra phản hồi liên quan đến vấn đề này, nhấn mạnh rằng mức độ nghiêm trọng là thấp và hành vi lưu trữ bộ nhớ đệm được coi là hợp lý. Dù vậy, Lasso vẫn khuyến cáo người dùng nên tiến hành đổi hoặc thu hồi mã khóa để bảo vệ thông tin cá nhân một cách an toàn nhất.
Vấn đề này gợi mở một câu hỏi quan trọng về vai trò của các công ty công nghệ trong việc bảo vệ dữ liệu người dùng. Điều này càng trở nên cấp thiết khi trí tuệ nhân tạo (AI) đang ngày càng được tích hợp vào đời sống hàng ngày. Các doanh nghiệp cần có trách nhiệm rõ ràng trong việc đảm bảo an toàn cho thông tin cá nhân của người dùng, nhất là trong bối cảnh công nghệ phát triển nhanh chóng.
