2 月 26 日消息，以色列网络安全公司 Lasso 发现，即使开发者已将其 GitHub 仓库设为私有，但其历史数据仍可通过微软 Copilot 进行访问。

图源 Pexels

Lasso 联合创始人 Ophir Dror 今日向 TechCrunch 透露，该漏洞已影响包括微软、亚马逊 AWS、谷歌、IBM、PayPal、腾讯等在内的超 1.6 万家机构。

Lasso 发现，2024 年某公司一次误操作将 GitHub 库短暂设为公开，虽然立即改为私有（注：访问会返回 404 错误），但其代码库仍可通过 Copilot 获取，其中包含知识产权、企业敏感信息，甚至密钥等。

进一步调查显示，2024 年曾公开过的 GitHub 仓库中，超 2 万个已删除或转私有的仓库数据仍存留于 Copilot 中。问题源于 Bing 搜索引擎对公开仓库的索引和缓存机制。

尽管微软在 2024 年 12 月停用了 Bing 缓存功能，但 Lasso 表示这只是临时解决方案，Copilot 仍能访问这些不应公开的数据。微软将此问题归类为“低风险”，称其缓存设定为“可接受”行为。