Microsoft Copilot’ta Güvenlik Açığı! 16 Bin Şirketin Verileri Tehlikede

İsrailli siber güvenlik firması Lasso, Microsoft’un Copilot yapay zeka uygulamasında ciddi bir veri sızıntısı riski bulunduğunu tespit etti. Rapora göre, belirli bir şekilde yapılandırılmış GitHub depolarındaki geçmiş verilere hala Copilot aracılığıyla erişim sağlanabiliyor. İşte detaylar…

Microsoft Copilot’ta 20 binden fazla özel GitHub deposu tehlikede!

Lasso’nun araştırmasına göre, 2024’te tesadüfen halk erişimine açılan bazı GitHub projeleri, tekrar özel hale getirilmelerine rağmen Copilot tarafından erişilebilir olmaya devam ediyor. Özellikle, Microsoft, Amazon AWS, Google, IBM, PayPal ve Tencent gibi 16 binden fazla büyük şirketin özel verileri tehlikede olarak bildirildi.

Bu güvenlik açığı nedeniyle, önceki dönemde yanlışlıkla herkese açık hale gelen şirketlerin kaynak kodları, API anahtarları ve diğer hassas bilgiler, Microsoft’un Copilot yapay zeka sisteminde hâlâ indeksli durumda. Lasso’nun bulgularına göre, Bing arama motorunun GitHub’daki açık depoları indeksleme yöntemi, verilerin Copilot tarafından sürekli erişilebilir olmasına sebep oluyor.

Microsoft, 2024 yılının Aralık ayı itibarıyla Bing’in önbellek sistemini devre dışı bırakmış olsa bile, Lasso ekibi bunun yalnızca geçici bir çözüm olduğunu ve verilerin hala Copilot’ta mevcut olduğunu ifade etti. Öte yandan, Microsoft, bu güvenlik açığını “düşük riskli bir sorun” olarak nitelendirdi ve sistemin çalışma prensibinin kabul edilebilir olduğunu savundu. Ancak, güvenlik uzmanları, şirketlerin hassas verilerinin izinsiz bir şekilde yapay zeka sistemlerinde bulunmasının ciddi güvenlik tehditleri oluşturduğunu belirtiyor.

Şirketin bu durumu geçici bir güvenlik problemi olarak değerlendirmesi, kurumsal kullanıcılarda daha fazla endişe yaratmış durumda. İddialara göre, eğer bu durum düzeltilmezse, gelecekte daha fazla şirketin özel verilerinin istemeden Copilot tarafından kullanılma riski devam edecektir.