تم اكتشاف ثغرة أمنية كبيرة في GitHub Copilot، مساعد التعليمات البرمجية المدعوم بالذكاء الاصطناعي من Microsoft. ترتبط المشكلة بنظام التخزين المؤقت الخاص بـ Bing. عندما تم جعل المستودعات العامة خاصة، احتفظت ذاكرة التخزين المؤقت الخاصة بـ Bing بالبيانات القديمة، مما سمح لـ Copilot باقتراح مقتطفات التعليمات البرمجية من هذه المستودعات. أدى هذا إلى كشف معلومات حساسة، مما أثر على شركات مثل Google وIBM وPayPal وحتى Microsoft نفسها.

كيف تعمل الثغرة الأمنية

نشأت المشكلة من فهرسة Bing وتخزينها مؤقتًا للمستودعات العامة. عندما تتغير حالة المستودع من عام إلى خاص، لا يتم تحديث البيانات المخزنة مؤقتًا أو إزالتها على الفور. ونتيجة لذلك، استمرت Copilot في تقديم اقتراحات بناءً على هذا التخزين المؤقت القديم، مما أدى إلى الكشف غير المقصود عن الملكية الفكرية ومفاتيح الوصول ورموز الأمان وحزم البرامج الداخلية. هذا ليس عيبًا مباشرًا في Copilot أو GitHub ولكنه نتيجة لسلوك التخزين المؤقت لـ Bing.

الاكتشاف والتأثير

وقد تمكنت شركة Lasso الإسرائيلية للأمن السيبراني من تحديد هذه المشكلة عندما اكتشفت أن مستودع GitHub الخاص بها لا يزال متاحًا عبر اقتراحات Copilot. وكشفت التحقيقات الإضافية أن أكثر من 16000 منظمة تأثرت، مع تعرض أكثر من 300 بيانات اعتماد أمنية خاصة وأكثر من 100 حزمة برامج داخلية للخطر. وقد أثار هذا مخاوف أمنية كبيرة بشأن حماية الملكية الفكرية وخطر تسرب المعلومات السرية.

رد مايكروسوفت والمخاوف المستمرة

بعد إبلاغها بالمشكلة في نوفمبر 2024، قامت شركة Microsoft بتحديث سياساتها الأمنية في يناير 2025. وقامت بتقييد الوصول العام إلى ذاكرة التخزين المؤقت لـ Bing، بهدف تقليل التعرض الإضافي. ومع ذلك، لا تزال المخاوف قائمة بشأن استمرار البيانات المخزنة مؤقتًا وإمكانية وجود ثغرات مماثلة في أدوات أخرى تعتمد على الذكاء الاصطناعي. تسلط هذه الحادثة الضوء على تعقيدات خصوصية البيانات في أنظمة الذكاء الاصطناعي، وخاصة بالنسبة للمنصات التي تعتمد على مجموعات بيانات ضخمة للتعلم الآلي.

ردود أفعال المجتمع والمخاوف الأخلاقية

وقد أثارت هذه الحادثة نقاشات حول أذونات Copilot، وخاصة قدرتها الواسعة على القراءة والكتابة إلى المستودعات العامة والخاصة. ويطالب المطورون بمزيد من الشفافية حول كيفية وصول Copilot إلى التعليمات البرمجية من المستودعات الخاصة واستخدامها. وقد أدى هذا الموقف إلى تأجيج مخاوف أوسع نطاقًا بشأن أخلاقيات الذكاء الاصطناعي وخصوصية البيانات.

توصيات للمطورين والمؤسسات

1. مراجعة تاريخ المستودع: راجع تاريخ أي مستودع كان عامًا للبيانات الحساسة. حتى إذا كان المستودع عامًا لفترة قصيرة، يمكن للأدوات الآلية فحص GitHub بسرعة بحثًا عن معلومات حساسة مثل مفاتيح الوصول وأسماء المستخدمين وكلمات المرور والأسرار الأخرى.
2. تدوير المفاتيح وبيانات الاعتماد: استبدال أي مفاتيح وصول أو بيانات اعتماد قد تكون معرضة للخطر.
3. استخدم ممارسات الترميز الآمنة: تجنب تخزين المعلومات الحساسة مثل مفاتيح API في الكود المصدر. استخدم متغيرات البيئة أو أدوات إدارة الأسرار الآمنة بدلاً من ذلك.
4. مراقبة الوصول: تنفيذ حلول المراقبة للكشف عن الوصول غير المصرح به أو النشاط غير المعتاد المتعلق بمستودعاتك.
5. اطلب الشفافية والتحكم: ادعُ منصات مثل GitHub وMicrosoft لتوفير المزيد من الشفافية والتحكم في كيفية وصول أدوات الذكاء الاصطناعي إلى البيانات المخزنة واستخدامها.
6. مراجعة الأذونات بانتظام: قم بمراجعة الأذونات الممنوحة لـ Copilot والأدوات التابعة لجهات خارجية الأخرى بشكل دوري، وتقييد الوصول إلى ما هو ضروري فقط.
7. التحقق من أدوات الذكاء الاصطناعي التي يمكنها الوصول إلى مستودعات GitHub الخاصة بك: قم بمراجعة أدوات الذكاء الاصطناعي التي يمكنها الوصول إلى مستودعات GitHub الخاصة بك بشكل منتظم، ليس فقط لهذه المشكلة، ولكن كأفضل ممارسة لحماية المعلومات الحساسة في المستقبل.
8. تقييد إنشاء مستودعات عامة: تقييد القدرة على إنشاء مستودعات عامة لأشخاص محددين داخل المؤسسة. استشر فرق الأمن والقانون قبل جعل أي مستودع عامًا لضمان الامتثال لقواعد الخصوصية وحماية الملكية الفكرية.
9. استخدم حسابات منفصلة لمستودعات البيانات العامة: فكر في إنشاء حساب منفصل للمنظمة مخصص فقط لمستودعات البيانات العامة لتقليل مخاطر الكشف عن معلومات داخلية حساسة عن طريق الخطأ.

التأثيرات التجارية وإدارة المخاطر

لا يشكل هذا الحادث مشكلة فنية فحسب؛ بل إنه يشكل مخاطر تجارية كبيرة. يمكن أن يؤدي تسريب البيانات إلى الإضرار بسمعة العلامة التجارية، ويؤدي إلى فقدان ثقة العملاء، ويؤدي إلى عقوبات قانونية بسبب عدم الامتثال لقواعد خصوصية البيانات. بالنسبة للشركات التي تستفيد من الذكاء الاصطناعي في منتجاتها، فإن هذا بمثابة تذكير لتطبيق ممارسات أمان البيانات القوية. يجب أن تكون فرق المبيعات والتسويق استباقية في توصيل تدابير الأمان للعملاء للحفاظ على المصداقية وثقة العملاء.

الأفكار النهائية

يوضح هذا الحادث التحديات التي تواجه خصوصية البيانات في أنظمة الذكاء الاصطناعي ويؤكد على الحاجة إلى سياسات بيانات شفافة وممارسات أمنية قوية. يجب على المطورين والمؤسسات أن يكونوا يقظين بشأن كيفية تخزين بياناتهم والوصول إليها، وخاصة عند استخدام أدوات تعمل بالذكاء الاصطناعي تعتمد على مستودعات عامة. من خلال تأمين المعلومات الحساسة بشكل استباقي ومراجعة أذونات الوصول بانتظام والدعوة إلى مزيد من الشفافية من مقدمي التكنولوجيا، يمكن لمجتمع المطورين التخفيف من مخاطر الكشف عن البيانات.

ابقى متجمدًا! ❄️

-كوبي.