Согласно исследованию израильской компании по кибербезопасности Lasso, специализирующейся на возникающих угрозах генеративного ИИ, данные, которые были в открытом доступе в интернете хотя бы на мгновение, могут ещё продолжительное время оставаться у онлайн-чат-ботов генеративного ИИ, таких как Microsoft Copilot, после того, как доступ к ним был закрыт.

Источник изображения: Windows/unsplash.com

Эта проблема касается тысяч некогда открытых репозиториев GitHub ряда крупнейших компаний, включая Microsoft, которые с тех пор стали закрытыми, сообщили в Lasso ресурсу TechCrunch.

По словам соучредителя Lasso Офира Дрора (Ophir Dror), компания обнаружила, что контент из её собственного репозитория GitHub появился в Copilot, поскольку он был проиндексирован и кеширован поисковой системой Bing от Microsoft. Этот репозиторий был ошибке открыт в течение короткого периода времени и сейчас является частным. При попытке получить к нему доступ на GitHub появляется сообщение «Страница не найдена».

«На Copilot, как ни странно, мы нашли один из наших собственных закрытых репозиториев, — рассказал Дрор. — Если бы я просматривал веб-страницы, я бы не увидел этих данных. Но любой человек, задав Copilot правильный вопрос, может их получить».

В связи с этим Lasso провела расследование, в ходе которого извлекла список репозиториев, бывших в открытом доступе какое-то время в 2024 году, и определила те, которые с тех пор были удалены или получили статус приватных. Используя механизм кеширования Bing, компания обнаружила, что более 20 тыс. частных репозиториев GitHub более 16 тыс. организаций по-прежнему доступны через Copilot. В частности, это касается Amazon Web Services, Google, IBM, PayPal, Tencent и Microsoft.

Дрор рассказал, что Lasso связалась со всеми компаниями, которые «серьёзно пострадали» от утечки данных, и посоветовала им ротировать или отозвать все скомпрометированные ключи.

Lasso уведомила Microsoft о своих выводах в ноябре 2024 года, но софтверный гигант сообщил ей, что относит проблему к «низкой степени серьезности», заявив, что такое поведение при кешировании «приемлемо». Microsoft отметила, что больше не включает ссылки на кеш Bing в результаты поиска с декабря 2024 года.

Тем не менее Lasso утверждает, что, хотя функция кеширования была отключена, Copilot всё ещё имеет доступ к данным, несмотря на то, что они не отражались в результатах веб-поиска.

Из-за отсутствия финансирования эксперимент с созданием российского аналога GitHub отложен на неопределённый срок, хотя платформу планировали запустить уже в апреле 2024 года. В декабре 2022 года в Минцифры предлагали направить на финансирование проекта 1,2 млрд руб. из фонда «Росинфокоминвест», которые хранились на его счетах с 2007 года, но средства так и не были перечислены, пишут «Ведомости» со ссылкой на источники в двух компаниях.

Источник изображений: StockSnap / pixabay.com

Потребность в создании отечественной платформы для совместной разработки IT-проектов стала очевидной после блокировки крымских учётных записей на GitHub — глава правительства Михаил Мишустин выступил с соответствующим предложением в сентябре 2021 года. В октябре 2022 года было опубликовано постановление правительства, согласно которому разработка отечественной платформы должна была идти с ноября 2022 по конец апреля 2024 года. Единый репозиторий помог бы накопить кодовую базу внутри страны, обеспечив России цифровой суверенитет.

В декабре Минцифры предложило направить на реализацию проекта средства «Росинфокоминвеста» — фонд был создан в 2007 году, при открытии он получил 1,5 млрд, но до 2019 года потратил лишь 75 млн руб. Средства должен был получить Российский фонд развития информационных технологий (РФРИТ) и перенаправить их в АНО «Открытый код», учреждённую VK, «Ростелекомом», университетом «Иннополис», группой T1 и другими структурами. Но в РФРИТ деньги так и не поступили.

В конце мая 2023 года Минцифры был утверждён список из 82 участников эксперимента по созданию отечественного репозитория — в него вошли региональные и федеральные органы власти, «Тинькофф банк», «Мосбиржа», «Сбертех» (входит в «Сбер»), компании-разработчики и частные лица.

При этом с 2022 года было запущено несколько частных платформ совместной разработки и хостинга кода: «РТК-Феникс» и «Лукоморье» от «Ростелекома», «Сфера» от T1, GitFlame от «Иннополиса», «Мосхаб» правительства Москвы, Gitflic от ГК «Астра» и GitVerse от «Сбера». Об аналогичных планах сообщали VK и «Росатом», а также «Банк России» — для финсектора. С появлением частных площадок потребность в единой платформе отпала, считают опрошенные «Ведомостями» эксперты. Но эти проекты обозначили проблему разобщённости разработчиков, которую в АНО «Открытый код» предлагают решать, реализовав возможность использовать на них одну учётную запись и единый способ верификации — сегодня вход на разные платформы может производиться через личный кабинет на mos.ru, Sber ID, VK ID, ЕСИА, электронную почту и номер телефона.

В проектах с открытым исходным кодом участвуют около 1 млн российских разработчиков — при этом на GitHub в 2023 году численность русскоязычного сообщества составляла 2,5 млн пользователей. Вклад российских разработчиков в проекты с открытым кодом в мировом масштабе составляет 7 % при численности 3 % от всей аудитории — то есть вклад оказывается выше численности, отметили в АНО «Открытый код». Расходы на работу единого репозитория с учётом аренды мощностей и обеспечения отказоустойчивости за три года составили бы около 300–500 млн руб., подсчитали эксперты.

Уже в ближайшем будущем все желающие смогут воспользоваться московским аналогом GitHub — библиотекой программных разработок с открытым кодом. Об этом написал в своём блоге мэр столицы Сергей Собянин. По словам главы города, новая платформа для обмена идеями и решениями позволит обеспечить независимость от иностранных площадок.

Источник изображения: Max Duzij/unsplash.com

«...в этой сфере мы не вправе позволить себе полностью зависеть от иностранных платформ», — заявил мэр. По его словам, хотя, например, сервис GitHub не объявлял о введении антироссийских санкций, аккаунты ряда россиян оказались заблокированы.

Как заявил Собянин, ещё более 10 лет назад Правительство Москвы сформировало городской репозиторий программного обеспечения. В нём хранится исходный код многих сервисов, информационных систем и платформ столицы. Пришло время для его расширения.

Сообщается, что на основе репозитория уже создана библиотека программных решений Mos.Hub, которую уже сегодня испытывают некоторые IT-специалисты города, а скоро воспользоваться возможностями площадки смогут все желающие. Кроме того, люди смогут делиться и собственными разработками. Здесь можно будет проверить выкладываемый код на ошибки и вредоносные компоненты.

По данным Собянина, Mos.Hub стал частью большой работы по созданию в столице экосистемы разработки ПО. В ближайшие годы в столице планируют полностью перейти на собственные решения для создания программного обеспечения — включая сервисы управления проектами, ведения документации и т.п. Благодаря этому, должно ускориться создание продуктов для людей и бизнеса. «Не отказываясь от сотрудничества с зарубежными коллегами, мы должны развивать свои системы и платформы, которые будет невозможно выключить, что называется, по одному щелчку», — подчеркнул мэр в своём сообщении.

Тем временем в GitHub появился ИИ-бот для помощи программистам, способный справиться с многими задачами без необходимости просить помощи на ресурсах для разработчиков ПО.