ผู้ช่วยอัจฉริยะของ Microsoft ถูกจับได้ว่าเปิดเผยข้อมูลที่ควรจะถูกเก็บเป็นความลับ สร้างความกังวลด้านความปลอดภัยอย่างร้ายแรงให้กับนักพัฒนาทั่วโลก นักวิจัยด้านความปลอดภัยค้นพบว่า Microsoft Copilot สามารถเข้าถึงและเปิดเผยเนื้อหาจากคลังโค้ด GitHub ที่ถูกตั้งค่าเป็นส่วนตัว ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูลบริษัทที่ละเอียดอ่อนและข้อมูลประจำตัวสำหรับการเข้าถึงระบบ
การค้นพบช่องโหว่ด้านความปลอดภัย
นักวิจัยด้านความปลอดภัยจาก Lasso ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอร์ที่เน้นภัยคุกคามเกี่ยวกับ AI ได้ค้นพบช่องโหว่สำคัญใน Microsoft Copilot ทีมวิจัยพบว่า Copilot สามารถเข้าถึงคลังโค้ด GitHub ส่วนตัวของพวกเขาเอง คลังโค้ดดังกล่าวเคยถูกตั้งค่าเป็นสาธารณะเป็นระยะเวลาสั้นๆ ก่อนที่จะถูกเปลี่ยนกลับเป็นส่วนตัว แต่ช่วงเวลาสั้นๆ นั้นก็เพียงพอให้เครื่องมือค้นหา Bing ของ Microsoft ทำการจัดทำดัชนีและเก็บแคชเนื้อหาไว้ แม้ว่าคลังโค้ดจะถูกปกป้องอย่างเหมาะสมแล้ว Copilot ก็ยังคงสามารถเข้าถึงและเปิดเผยข้อมูลส่วนตัวเหล่านี้เมื่อถูกถามด้วยคำถามที่เหมาะสม
ขนาดของการรั่วไหล
หลังจากการค้นพบครั้งแรก Lasso ได้ทำการสืบสวนในวงกว้างขึ้นซึ่งเผยให้เห็นผลลัพธ์ที่น่าตกใจ บริษัทด้านความปลอดภัยระบุว่ามีคลังโค้ด GitHub มากกว่า 20,000 คลังที่ถูกตั้งค่าเป็นส่วนตัวในปี 2024 แต่ยังคงสามารถเข้าถึงได้ผ่าน Microsoft Copilot การเปิดเผยนี้ส่งผลกระทบต่อองค์กรประมาณ 16,000 แห่ง รวมถึงบริษัทเทคโนโลยีขนาดใหญ่อย่าง IBM, Google, PayPal, Tencent และ Microsoft เอง ขอบเขตของปัญหาความปลอดภัยนี้มีขนาดใหญ่มาก อาจส่งผลต่อทรัพย์สินทางปัญญา ข้อมูลบริษัท และข้อมูลประจำตัวด้านความปลอดภัยทั่วทั้งอุตสาหกรรมเทคโนโลยี
ข้อค้นพบสำคัญจากการวิจัยของ Lasso:
- พบคลังข้อมูล GitHub ส่วนตัวกว่า 20,000 แห่งที่สามารถเข้าถึงได้ผ่าน Copilot
- มีองค์กรที่ได้รับผลกระทบประมาณ 16,000 แห่ง
- บริษัทเทคโนโลยีรายใหญ่ที่ได้รับผลกระทบรวมถึง IBM, Google, PayPal, Tencent, Microsoft
- มีการรายงานช่องโหว่นี้ให้ Microsoft ทราบในเดือนพฤศจิกายน 2024
- Microsoft จัดประเภทปัญหานี้เป็น "ความรุนแรงต่ำ"
 |
|---|
| เทคโนโลยีที่เชื่อมโยงกันซึ่งแสดงให้เห็นถึงขนาดอันกว้างใหญ่ของข้อมูลส่วนตัวที่ถูกเปิดเผยในองค์กรต่างๆ อันเนื่องมาจากการละเมิดความปลอดภัยของ AI |
ข้อมูลที่ละเอียดอ่อนที่มีความเสี่ยง
คลังโค้ดที่ถูกเปิดเผยอาจมีข้อมูลที่ละเอียดอ่อนอย่างมากซึ่งอาจถูกนำไปใช้โดยผู้ไม่ประสงค์ดี ตามข้อค้นพบของ Lasso อาชญากรไซเบอร์อาจสามารถบังคับให้ Copilot เปิดเผยข้อมูลลับ เช่น คีย์การเข้าถึง โทเค็นความปลอดภัย และโค้ดที่เป็นกรรมสิทธิ์ บริษัทด้านความปลอดภัยได้แนะนำให้องค์กรที่ได้รับผลกระทบดำเนินการทันทีโดยการหมุนเวียนหรือเพิกถอนข้อมูลประจำตัวด้านความปลอดภัยที่อาจถูกละเมิด เพื่อลดความเสียหายที่อาจเกิดขึ้นจากการเปิดเผยนี้
การตอบสนองของ Microsoft
เมื่อ Lasso รายงานช่องโหว่นี้ให้ Microsoft ทราบในเดือนพฤศจิกายน 2024 การตอบสนองของบริษัทกลับน่าประหลาดใจที่ค่อนข้างเพิกเฉย Microsoft จัดประเภทปัญหานี้ว่ามีความรุนแรงต่ำและอธิบายว่าพฤติกรรมการแคชข้อมูลนี้เป็นที่ยอมรับได้ แม้ว่า Microsoft จะลบผลการค้นหาที่แคชไว้ที่เกี่ยวข้องกับข้อมูลที่ได้รับผลกระทบออกจาก Bing ในเดือนธันวาคม 2024 แล้วก็ตาม Lasso เตือนว่า Copilot ยังคงเก็บข้อมูลไว้ในโมเดล AI ซึ่งหมายความว่าข้อมูลยังคงสามารถเข้าถึงได้ผ่านคำถามที่เหมาะสม
ผลกระทบในวงกว้างต่อความปลอดภัยของ AI
เหตุการณ์นี้ชี้ให้เห็นถึงความกังวลที่เพิ่มขึ้นเกี่ยวกับวิธีการฝึกฝนระบบ AI และข้อมูลใดที่พวกมันเก็บไว้ ในขณะที่แชทบอท AI และผู้ช่วยอัจฉริยะสแกนอินเทอร์เน็ตอย่างต่อเนื่องเพื่อหาข้อมูลสำหรับการฝึกฝน พวกมันอาจจับและเก็บข้อมูลที่เปิดเผยต่อสาธารณะเพียงชั่วคราวหรือไม่เคยตั้งใจให้มีการเผยแพร่อย่างกว้างขวาง การขาดการควบคุมเกี่ยวกับการเก็บรวบรวมและเก็บรักษาข้อมูลนี้สร้างความเสี่ยงด้านความปลอดภัยที่สำคัญ โดยเฉพาะเมื่อเกี่ยวข้องกับข้อมูลบริษัทที่ละเอียดอ่อนหรือข้อมูลส่วนบุคคล
มาตรการป้องกันสำหรับนักพัฒนา
จากการค้นพบนี้ นักพัฒนาและองค์กรที่ใช้ GitHub ควรทบทวนแนวปฏิบัติด้านความปลอดภัยของคลังโค้ด แม้แต่การเปิดเผยคลังโค้ดที่ละเอียดอ่อนต่อสาธารณะชั่วคราวก็สามารถนำไปสู่ความเสี่ยงด้านความปลอดภัยในระยะยาว เนื่องจากระบบ AI จะทำดัชนีและเก็บข้อมูลนั้นไว้ การหมุนเวียนข้อมูลประจำตัวด้านความปลอดภัยอย่างสม่ำเสมอ การจัดการการตั้งค่าการมองเห็นของคลังโค้ดอย่างระมัดระวัง และการตรวจสอบข้อมูลที่อาจถูกเปิดเผยกำลังกลายเป็นแนวปฏิบัติที่จำเป็นในสภาพแวดล้อมการพัฒนาที่ขับเคลื่อนด้วย AI