Negli ultimi mesi, l’intelligenza artificiale di Microsoft, Copilot, ha sollevato preoccupazioni nel mondo della cybersecurity, rivelando i contenuti di oltre 20.000 repository privati su GitHub. Questi progetti, appartenenti a note aziende come Google, Intel, Huawei, PayPal, IBM e Tencent, erano inizialmente stati pubblicati come pubblici, ma successivamente erano stati resi privati per motivi di sicurezza. Questo evento ha portato a una crescente predilezione per la salvaguardia delle informazioni sensibili e alla necessità di monitorare l’accesso ai dati.
Un problema di sicurezza inaspettato
L’agenzia di sicurezza informatica Lasso ha scoperto la vulnerabilità nella seconda metà del 2024. Il team ha iniziato la sua indagine a gennaio, quando ha osservato che Copilot continuava a conservare e rendere accessibili repository privati, nonostante fossero stati definiti tali dai rispettivi owners. Di fronte a questa scoperta, Lasso ha deciso di valutare l’ampiezza del problema, incapsulando la questione di questi cosiddetti “repository zombie” – quei progetti che, una volta pubblici, ora giacciono dietro le mura di una privacy fittizia.
I ricercatori di Lasso, Ophir Dror e Bar Lanyado, hanno evidenziato: “La possibilità che qualsiasi dato su GitHub, anche se pubblico per un breve periodo, possa essere indicizzato e potenzialmente esposto da strumenti come Copilot ci ha davvero colpiti.” Così, alla ricerca di risposte, si sono messi a sviluppare un metodo automatizzato per identificare questi repository zombie e verificare le loro scoperte.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di notizie personalizzato
Seguici ora
L’inefficienza del meccanismo di caching
Durante le loro indagini, Lasso ha scoperto che Microsoft stava esponendo uno dei loro stessi repository privati. L’origine del problema è stata rintracciata nel meccanismo di caching di Bing, il motore di ricerca di Microsoft. Le pagine erano state indicizzate quando erano ancora pubbliche, ma al cambiamento dello status in privato non erano state rimosse dai risultati di ricerca. Ciò ha consentito a Copilot, che utilizza Bing per le sue operazioni, di accedere ai dati sensibili, preservandoli nella memoria del chatbot.
Dopo che Lasso ha segnalato la questione a novembre, Microsoft ha implementato modifiche per affrontare la vulnerabilità. I ricercatori di Lasso hanno confermato che i dati privati non erano più disponibili attraverso il caching di Bing. Tuttavia, un altro aspetto interessante è emerso durante le indagini: la persistenza di un repository GitHub, reso privato dopo una causa legale promossa da Microsoft, nel quale si ipotizzava che fossero presenti strumenti per aggirare le misure di sicurezza della società. Sebbene il repository fosse stato rimosso da GitHub, Copilot continuava a renderne disponibili gli strumenti.
La necessità di un monitoraggio costante
Questo episodio ha scosso non solo Microsoft, ma l’intero settore tecnologico. Le implicazioni della sicurezza dei dati sono enormi, specialmente in un’epoca in cui le aziende trattano informazioni sempre più sensibili. La rivelazione della vulnerabilità nei repository privati di GitHub ricorda che anche le aziende più avanzate nel campo della tecnologia devono rimanere vigilanti.
L’analisi della fallibilità di Copilot solleva interrogativi sulle capacità di gestione dei dati delle grandi aziende. Le informazioni confidenziali necessitano di protezioni robuste e di meccanismi di cancellazione definitivi. Un funzionamento errato di strumenti così penetranti come quelli dell’intelligenza artificiale e i loro legami con motori di ricerca influenti merita una riflessione approfondita. Soltanto una strategia mirata e sensibile alla sicurezza potrà garantire che incidenti simili non si ripetano, contribuendo a costruire un ambiente digitale più sicuro per tutti.
