Yapay zeka tabanlı sohbet botları, giderek daha fazla özel GitHub depolarına erişim sağlıyor ve bu durum ciddi güvenlik tehditleri yaratıyor. Yapay zeka modellerinin eğitimi, büyük miktarda veri gerektirdiğinden, bu botlar değerli bilgileri tarayarak toplayabiliyor. Ancak bu durum, gizli verilerin sızdırılmasına yol açabilir.
Neler Biliniyor?
İsrailli siber güvenlik şirketi Lasso‘nun raporuna göre, Copilot ve ChatGPT, özel GitHub depolarına erişebiliyor. Bu güvenlik açığı, IBM, Google, PayPal, Tencent, Microsoft ve Amazon dahil olmak üzere on binlerce organizasyonu etkiliyor.
Lasso uzmanları, kendi GitHub depolarında test yaparken bu sorunu keşfetti. Kısa bir süreliğine herkese açık hale getirilen bir depo, tekrar özel moda alındığında bile Copilot tarafından erişilebilir durumda kaldı. Bing, bu depoyu indeksledikten sonra, Copilot verileri saklamaya devam etti.
Araştırmalara göre, 2024 yılı itibarıyla 20.000’den fazla özel depo, hâlâ Copilot üzerinden erişilebilir durumda. Bu depolarda kurumsal veriler, erişim anahtarları ve diğer kritik bilgiler bulunuyor. Bu bilgiler, kötü niyetli kişiler tarafından kötüye kullanılabilir.
Microsoft, bu güvenlik açığı hakkında Kasım 2024’te bilgilendirildi, ancak sorunu “düşük öncelikli” olarak değerlendirdi. Bing, sızdırılan verileri arama sonuçlarından kaldırdı, ancak Copilot hâlâ bu verileri saklamaya devam ediyor. Bu da ek güvenlik riskleri oluşturuyor.
