Dijital güvenlikte GitHub ile alakalı önemli bir açık ortaya çıktı. Siber güvenlik şirketi Lasso, Microsoft’un Copilot yapay zeka aracı üzerinden, artık gizli olan ancak bir zamanlar herkese açık olan binlerce GitHub deposunun hâlâ erişilebilir durumda olduğunu tespit etti. Bu durum, hassas verilerin, erişim anahtarlarının ve hatta fikri mülkiyetin risk altında olabileceğini gösteriyor.
Copilot, Gizlenmiş Depolara Ulaşabiliyor
Lasso’nun yaptığı araştırmaya göre, daha önce kamuya açık olan ve sonrasında gizli hale getirilen 20.000’den fazla GitHub deposunun içeriği hâlâ Microsoft Copilot üzerinden ulaşılabilir durumda. Üstelik bu durum 16.000’den fazla büyük şirketi etkiliyor.
Şirketin kurucu ortağı Ophir Dror, Copilot’un Bing’in önbelleğe aldığı verileri kullandığını, dolayısıyla verilerin GitHub’dan silinmiş ya da gizlenmiş olmasının Copilot için bir engel oluşturmadığını belirtiyor.
Dror, yaptığı açıklamada şunları söyledi:
“Kendi özel depolarımızdan birini Copilot’ta bulduk. Web’de gezinseydim bu verileri göremezdim. Ancak, dünyadaki herhangi biri Copilot’a doğru soruyu sorarsa, bu verilere ulaşabilir.”
Hangi Şirketler Etkilendi?
Lasso’nun araştırmasına göre, Copilot’un hâlâ erişebildiği hassas veriler, dünyanın en büyük teknoloji şirketlerini ilgilendiriyor. Etkilenen şirketler arasında:
- Amazon Web Services (AWS)
- IBM
- PayPal
- Tencent
- Microsoft (kendi verileri de bu açık nedeniyle risk altında)
Bu şirketlerin GitHub’da kısa süreliğine açık kalan depoları, Copilot’un veri tabanına kaydedildi ve hâlâ bu yapay zeka modeli üzerinden erişilebilir durumda.
Veri Sızıntısı: Hassas Bilgiler Risk Altında
Lasso, Microsoft’un Copilot’un fikri mülkiyet, kurumsal veriler, erişim anahtarları ve API token’ları gibi hassas bilgileri iade edebileceğini söylüyor.
Hatta Lasso, Microsoft tarafından daha önce silinen bir GitHub deposunun içeriğini Copilot’tan geri alabildiğini belirtti. Söz konusu deponun, Microsoft’un bulut yapay zeka hizmetini kullanarak saldırgan AI görüntüleri oluşturabilen bir aracı barındırdığı ifade ediliyor.
Microsoft’un Yanıtı ve Çözüm Arayışları
Lasso, bulgularını Kasım 2024’te Microsoft’a rapor etti. Ancak Microsoft, bu durumu “düşük önem” kategorisinde değerlendirdi ve önbelleğe alma davranışının kabul edilebilir olduğunu belirtti.
Microsoft, Aralık 2024 itibarıyla Bing’in önbelleğine bağlantı eklemeyi durdurdu. Ancak Lasso, bunun kalıcı bir çözüm sunmadığını ve Copilot’un hâlâ eski verilere erişebildiğini ifade ediyor.
Lasso’dan Şirketlere Uyarı
Lasso, bu açık nedeniyle etkilenen şirketleri uyardı ve tehlikeye giren API anahtarlarını ve erişim token’larını iptal etmeleri gerektiğini belirtti. Ancak, henüz hiçbir şirket resmi bir yanıt vermedi.
Bu olay, büyük teknoloji şirketlerinin üretken yapay zeka araçlarını daha iyi kontrol etmesi gerektiğini gösteriyor. Kısa bir süreliğine bile olsa açık hale gelen verilerin kalıcı olarak erişilebilir kalabileceği gerçeği, şirketleri güvenlik politikalarını gözden geçirmeye zorlayabilir.
Yapay Zeka Çağında Veri Güvenliği Sorunu
Copilot ve benzeri yapay zeka araçlarının veri yönetimi politikalarının gözden geçirilmesi gerekiyor. Önbelleğe alınan verilerin ne kadar süreyle erişilebilir olduğu konusunda şeffaflık sağlanmazsa, bu tür olayların tekrar yaşanması kaçınılmaz olabilir.
Şirketler ve bireyler, hassas verilerini açık GitHub depolarına yüklerken daha dikkatli olmalı ve bu tür verileri mümkün olan en kısa sürede gizli hale getirmelidir. Aksi takdirde, bir yapay zeka modeli aracılığıyla bile olsa, verilerin kalıcı olarak erişilebilir olabileceği unutulmamalıdır.