Chatbots de IA e a Ameaça Persistente de Dados Expostos: Uma Preocupação de Segurança
Olá, entusiastas de tecnologia! Já pensou nos perigos ocultos em nossas ferramentas de IA favoritas? Pesquisadores de segurança da Lasso descobriram um problema bastante perturbador: dados expostos brevemente online podem persistir em chatbots de IA como o Microsoft Copilot, mesmo depois de tornados privados. Isso não é um problema de pequena escala. Estamos falando de milhares de repositórios GitHub outrora públicos de grandes empresas como Microsoft, Amazon, Google e outras.
A Lasso descobriu isso ao encontrar seu próprio repositório privado – acidentalmente tornado público por um curto período – aparecendo nas respostas do Copilot. Embora o repositório tenha sido rapidamente definido como privado, e um erro de "página não encontrada" receba quem tentar acessá-lo diretamente, o Copilot ainda forneceu as informações. Isso é um grande sinal de alerta.
A escala do problema é assustadora. A Lasso identificou mais de 20.000 repositórios GitHub outrora privados com dados acessíveis por meio do Copilot, afetando mais de 16.000 organizações. Isso inclui informações muito sensíveis: propriedade intelectual, segredos corporativos e até mesmo chaves de acesso e tokens. Imagine o dano potencial!
Um exemplo particularmente alarmante: o Copilot revelou detalhes de um repositório Microsoft excluído contendo uma ferramenta para gerar imagens de IA prejudiciais. Nossa!
A Lasso alertou as empresas afetadas, aconselhando-as a alterar as chaves de acesso comprometidas, mas não obteve resposta. A resposta da Microsoft? Inicialmente, eles minimizaram a gravidade, chamando o comportamento de cache de "aceitável". Mais tarde, eles desativaram os links para o cache do Bing em seus resultados de pesquisa, mas o Copilot ainda mantém acesso.
O que isso significa para nós? Isso destaca uma vulnerabilidade de segurança significativa na IA generativa. A natureza transitória dos dados online não significa que eles se foram de verdade. Os modelos de IA podem reter informações muito depois de removidas da web pública. Isso destaca a necessidade de medidas de segurança de dados mais robustas e uma reavaliação crítica de como usamos e confiamos nessas poderosas ferramentas de IA.
Isso não é apenas um problema tecnológico; é uma séria preocupação de segurança com implicações de longo alcance. É hora de fazer perguntas difíceis sobre privacidade de dados e o impacto a longo prazo da IA em nosso mundo digital.
Source: TechCrunch