概要: Lasso Securityは、Microsoft CopilotがGitHubリポジトリから、一時的に公開されていたものの後に非公開または削除されたコンテンツを返す可能性があると報告しました。Lassoは、この問題の原因をBingのキャッシュシステムにあると説明しました。このシステムは2万以上のリポジトリから「ゾンビデータ」を保存していました。キャッシュされたコンテンツには、アクセスキー、トークン、内部パッケージなどの機密情報が含まれていたとされています。Microsoftはこの問題の深刻度を低と分類し、部分的な緩和策のみを適用したと報じられています。
Editor Notes: Timeline notes: This incident ID date is marked 02/26/2025 because the bulk of reporting centered on Lasso Security's investigation emerged at that time. (Lasso's report is dated 02/27/2025, though.) However, Lasso cites an August 2024 LinkedIn post by Zachary Horton identifying the problem months before significant press coverage: https://www.linkedin.com/posts/zak-horton_github-ai-privacy-activity-7225764812117487616-YcGP. The incident ID was created 08/15/2025.
推定: Microsoft , GitHub , Microsoft Copilot と Bingが開発し提供したAIシステムで、GitHub users , GitHub repositories と GitHubに影響を与えた
インシデントのステータス
Risk Subdomain
A further 23 subdomains create an accessible and understandable classification of hazards and harms associated with AI
2.1. Compromise of privacy by obtaining, leaking or correctly inferring sensitive information
Risk Domain
The Domain Taxonomy of AI Risks classifies risks into seven AI risk domains: (1) Discrimination & toxicity, (2) Privacy & security, (3) Misinformation, (4) Malicious actors & misuse, (5) Human-computer interaction, (6) Socioeconomic & environmental harms, and (7) AI system safety, failures & limitations.
- Privacy & Security
Entity
Which, if any, entity is presented as the main cause of the risk
AI
Timing
The stage in the AI lifecycle at which the risk is presented as occurring
Post-deployment
Intent
Whether the risk is presented as occurring as an expected or unexpected outcome from pursuing a goal
Unintentional
インシデントレポート
レポートタイムライン
Loading...
セキュリティ研究者たちは、たとえ一瞬でもインターネットに公開されたデータは、非公開にされた後もMicrosoft Copilotのようなオンライン生成AIチャットボットに長期間残る可能性があると警告している。
イスラエルのサイバーセキュリティ企業Lasso(生成AIの新たな脅威に注力)の新たな調査結果によると、Microsoftを含む世界有数の企業の、かつて公開されていたGitHubリポジトリ数千件が影響を受けているという。
Lassoの共同創業者であるオフィール・ドロール氏…
Loading...
2024年8月、私たちはLinkedInの投稿に遭遇しました。その投稿では、OpenAIがGitHubの非公開リポジトリのデータを使って学習を行い、そのデータを公開していると主張していました。この主張の重大性を考慮し、私たちの研究チームは直ちに調査を開始しました。
簡単な検索で、問題のリポジトリはかつて公開されていたことが判明しました。そのページはBingによってまだインデックス登録されていたからです。しかし、GitHub上でこれらのページに直接アクセスしようとすると、404…
バリアント
「バリアント」は既存のAIインシデントと同じ原因要素を共有し、同様な被害を引き起こし、同じ知的システムを含んだインシデントです。バリアントは完全に独立したインシデントとしてインデックスするのではなく、データベースに最初に投稿された同様なインシデントの元にインシデントのバリエーションとして一覧します。インシデントデータベースの他の投稿タイプとは違い、バリアントではインシデント��データベース以外の根拠のレポートは要求されません。詳細についてはこの研究論文を参照してください
似たようなものを見つけましたか?
よく似たインシデント
Did our AI mess up? Flag the unrelated incidents
よく似たインシデント
Did our AI mess up? Flag the unrelated incidents