Chatbots de IA y la Amenaza Persistente de Datos Expuestos: Una Preocupación de Seguridad
¡Hola, entusiastas de la tecnología! ¿Alguna vez pensaste en los peligros ocultos que acechan en nuestras herramientas de IA favoritas? Los investigadores de seguridad de Lasso han desenterrado un problema bastante inquietante: los datos expuestos brevemente en línea pueden persistir en chatbots de IA como Microsoft Copilot, incluso después de que se hayan vuelto privados. Esto no es un problema a pequeña escala. Estamos hablando de miles de repositorios de GitHub que alguna vez fueron públicos de grandes empresas como Microsoft, Amazon, Google y más.
Lasso descubrió esto al encontrar su propio repositorio privado, accidentalmente hecho público por un corto tiempo, apareciendo en las respuestas de Copilot. Aunque el repositorio se configuró rápidamente como privado, y un error de "página no encontrada" recibe a cualquiera que intente acceder a él directamente, Copilot aún proporcionó la información. ¡Esa es una gran señal de alerta!
La escala del problema es asombrosa. Lasso identificó más de 20,000 repositorios de GitHub que alguna vez fueron privados con datos accesibles a través de Copilot, afectando a más de 16,000 organizaciones. Esto incluye información muy sensible: propiedad intelectual, secretos corporativos e incluso claves de acceso y tokens. ¡Imaginen el daño potencial!
Un ejemplo particularmente alarmante: Copilot reveló detalles de un repositorio de Microsoft eliminado que contenía una herramienta para generar imágenes de IA dañinas. ¡Ay!
Lasso alertó a las empresas afectadas, aconsejándoles que cambiaran las claves de acceso comprometidas, pero no recibieron respuesta. ¿La respuesta de Microsoft? Inicialmente, minimizaron la gravedad, calificando el comportamiento de almacenamiento en caché como "aceptable". Más tarde, deshabilitaron los enlaces al caché de Bing en sus resultados de búsqueda, pero Copilot aún conserva el acceso.
¿Qué significa esto para nosotros? Destaca una vulnerabilidad de seguridad significativa en la IA generativa. La naturaleza transitoria de los datos en línea no significa que hayan desaparecido por completo. Los modelos de IA pueden retener información mucho después de que se haya eliminado de la web pública. Esto subraya la necesidad de medidas de seguridad de datos más sólidas y una reevaluación crítica de cómo utilizamos y confiamos en estas poderosas herramientas de IA.
Esto no es solo un problema tecnológico; es una seria preocupación de seguridad con amplias implicaciones. Es hora de hacer preguntas difíciles sobre la privacidad de los datos y el impacto a largo plazo de la IA en nuestro mundo digital.
Source: TechCrunch