Schon ein kleiner Moment der Unachtsamkeit kann dazu führen, dass Daten aus Github-Repositories für jeden dauerhaft via Copilot auffindbar sind.

Wer in der Vergangenheit ein privates Github-Repository geplant oder unabsichtlich öffentlich zugänglich gemacht hat, sollte darin enthaltene vertrauliche Inhalte als kompromittiert betrachten und entsprechende Maßnahmen einleiten - selbst wenn die Daten nur für kurze Zeit offengelegt wurden. Wie Sicherheitsforscher von Lasso herausgefunden haben, sind die Crawler von KI-Tools wie Microsofts Copilot sehr schnell darin, diese Daten einzusammeln.

Selbst wenn betroffene Repos im Anschluss wieder auf privat gestellt werden, können die enthaltenen Daten weiterhin via Copilot auffindbar sein. Wie aus einem Bericht von Techcrunch hervorgeht, sind Tausende von Github-Repositories betroffen - darunter auch solche großer Konzerne wie AWS, Google, IBM, Paypal und sogar Microsoft selbst.

Den Forschern war es demnach möglich, über das Caching von Bing eine Liste von Repositories zu erstellen, die irgendwann im Jahr 2024 einmal öffentlich waren, danach aber gelöscht oder auf privat gestellt wurden. Dadurch fanden sie Daten von mehr als 20.000 auf Github nicht mehr frei zugänglichen Repos, deren Inhalte sie weiterhin via Copilot abrufen konnten. Die Anzahl betroffener Unternehmen bezifferte das Forschungsteam auf über 16.000.