Copilot을 보여주는 스크린 샷은 Microsoft가 Github에서 제거하기 위해 조치를 취한 도구를 계속 제공합니다.
크레딧 : Lasso
Lasso는 궁극적으로 Microsoft의 수정이 CC.Bingj.com에서 구할 수있는 특수 Bing 사용자 인터페이스에 대한 액세스를 대중에게 삭감하는 것과 관련이 있다고 결정했습니다. 그러나이 수정은 캐시 자체에서 개인 페이지를 지우는 것처럼 보이지 않았습니다. 결과적으로, 개인 정보는 여전히 Copilot에 액세스 할 수 있었으며, 이로 인해 요청한 Copilot 사용자가 이용할 수있게되었습니다.
Lasso 연구원들은 다음과 같이 설명했습니다.
Bing의 캐시 된 링크 기능이 비활성화되었지만 캐시 된 페이지는 검색 결과에 계속 표시되었습니다. 이는 수정이 임시 패치였으며 공개 액세스가 차단되었지만 기본 데이터가 완전히 제거되지 않았 음을 나타냅니다.
Microsoft Copilot에 대한 조사를 다시 방문했을 때 의심이 확인되었습니다. Copilot은 여전히 인간 사용자가 더 이상 사용할 수없는 캐시 된 데이터에 액세스 할 수있었습니다. 요컨대, 수정은 부분적으로 만 있었고, 인간 사용자는 캐시 된 데이터를 검색하는 것을 방지했지만 Copilot은 여전히 액세스 할 수있었습니다.
이 게시물은 누구나 동일한 대규모 리포지토리의 Lasso를 찾아보기 위해 취할 수있는 간단한 단계를 제시했습니다.
튜브에 치약을 다시 넣을 수 없습니다
개발자는 보안 토큰, 개인 암호화 키 및 기타 민감한 정보를 코드에 직접 포함시킨다. 이 코드가 공개 리포지토리에서 제공되면이 잠재적 손상이 악화되며, 또 다른 일반적인 보안이 실패합니다. 현상이 발생했습니다 계속해서 ~을 위한 10 년 이상.
이러한 종류의 실수가 발생하면 개발자는 종종 낙진을 포함하기를 희망하면서 저장소를 빠르게 비공개로 만듭니다. Lasso의 연구 결과는 단순히 코드를 비공개로 만드는 것만으로는 충분하지 않다는 것을 보여줍니다. 일단 노출되면 자격 증명은 돌이킬 수 없을 정도로 손상됩니다. 유일한 상환은 모든 자격 증명을 회전시키는 것입니다.
이 조언은 여전히 다른 민감한 데이터가 공개에서 개인으로 전환되는 저장소에 포함될 때 발생하는 문제를 해결하지 못합니다. Microsoft는 컴퓨터 사기 및 학대법, Digital Millennium Copyright Act, Lanham Act 및 Racketeer가 영향을 받고 부패한 조직법을 포함하여 법률의 뗏목을 위반했다고 주장한 후 Github에서 도구를 제거하는 데 법적 비용이 발생했습니다. 회사 변호사들은 도구를 제거하는 데 우세했습니다. 현재까지 Copilot은 어쨌든 도구를 사용할 수있게 하여이 작업을 계속 약화시킵니다.
Microsoft는이 게시물이 생중계 된 후 전송 된 이메일에서 다음과 같이 썼습니다. “대형 언어 모델은 종종 웹에서 공개적으로 이용 가능한 정보에 대한 교육을 받는다는 것을 이해하고 있습니다. 사용자가 이러한 모델을 교육하기 위해 콘텐츠를 공개적으로 공개적으로 이용할 수있게하는 것을 선호하는 경우 항상 리포지토리를 비공개로 유지하도록 권장됩니다.”
