2025-02-27 02:00:58 作者：

感謝熱心讀者提供的線索。近日，一家以色列網(wǎng)絡(luò)安全公司發(fā)現(xiàn)，即便開(kāi)發(fā)者已將其 GitHub 倉(cāng)庫(kù)設(shè)置為私有狀態(tài)，其歷史數(shù)據(jù)仍然可能通過(guò)微軟旗下的 Copilot 工具被訪問(wèn)到。

據(jù)該公司聯(lián)合創(chuàng)始人透露，這一漏洞已經(jīng)影響了全球超過(guò) 1.6 萬(wàn)家機(jī)構(gòu)，其中包括微軟、亞馬遜 AWS、谷歌、IBM、PayPal 和騰訊等知名企業(yè)。調(diào)查結(jié)果顯示，問(wèn)題的根源在于部分代碼庫(kù)曾因誤操作短暫公開(kāi)，盡管隨后迅速恢復(fù)為私有狀態(tài)（訪問(wèn)時(shí)會(huì)返回 404 錯(cuò)誤），但相關(guān)代碼及其包含的知識(shí)產(chǎn)權(quán)、敏感信息甚至密鑰等內(nèi)容，仍可通過(guò) Copilot 被獲取。

進(jìn)一步分析表明，2024 年期間，超過(guò) 2 萬(wàn)個(gè)曾經(jīng)公開(kāi)過(guò)的 GitHub 倉(cāng)庫(kù)，在被刪除或設(shè)為私有后，其數(shù)據(jù)仍然保留在 Copilot 的系統(tǒng)中。這種情況與 Bing 搜索引擎對(duì)公開(kāi)倉(cāng)庫(kù)的索引和緩存機(jī)制密切相關(guān)。盡管微軟已于 2024 年 12 月停止了 Bing 緩存功能，但網(wǎng)絡(luò)安全公司指出，這只是臨時(shí)措施，Copilot 依然能夠訪問(wèn)這些本不應(yīng)公開(kāi)的數(shù)據(jù)。

微軟方面將此問(wèn)題定義為“低風(fēng)險(xiǎn)”，并表示其緩存行為屬于“可接受范圍”。然而，這一結(jié)論引發(fā)了業(yè)界對(duì)于數(shù)據(jù)隱私和安全性的廣泛討論。