GitHub私有库数据泄露：超1.6万家机构受影响

感谢热心读者提供的线索。近日，一家以色列网络安全公司发现，即便开发者已将其 GitHub 仓库设置为私有状态，其历史数据仍然可能通过微软旗下的 Copilot 工具被访问到。

据该公司联合创始人透露，这一漏洞已经影响了全球超过 1.6 万家机构，其中包括微软、亚马逊 AWS、谷歌、IBM、PayPal 和腾讯等知名企业。调查结果显示，问题的根源在于部分代码库曾因误操作短暂公开，尽管随后迅速恢复为私有状态（访问时会返回 404 错误），但相关代码及其包含的知识产权、敏感信息甚至密钥等内容，仍可通过 Copilot 被获取。

进一步分析表明，2024 年期间，超过 2 万个曾经公开过的 GitHub 仓库，在被删除或设为私有后，其数据仍然保留在 Copilot 的系统中。这种情况与 Bing 搜索引擎对公开仓库的索引和缓存机制密切相关。尽管微软已于 2024 年 12 月停止了 Bing 缓存功能，但网络安全公司指出，这只是临时措施，Copilot 依然能够访问这些本不应公开的数据。

微软方面将此问题定义为“低风险”，并表示其缓存行为属于“可接受范围”。然而，这一结论引发了业界对于数据隐私和安全性的广泛讨论。