经过了好几年,微软终于在今天推出了适用于 macOS 的 Copilot AI 助手应用,现在你可以在 Mac App Store 免费下载它了。最早时候,Copilot 是在网页和 Edge 浏览器上推出的,而后在去年登陆了 iOS、Android 平台,以及逐步被整合进了微软自家的各种软件里。
随着 Copilot 在多平台上线以及应用中的集成,微软自然也希望这款功能能够得到更多用户的青睐,殊不知,在试用过程中,微软接连遭到了 Copilot 的“背刺”,也引发了不少网友的担忧。
Copilot 教网友如何下载盗版 Windows 11
其中之一就是 Copilot 公然指导用户如何在没有 Windows 11 许可证的情况下运行该操作系统。
事实上,从技术角度来看,绕过 Windows 许可证并不是特别难的事情,只不过当前在 Copilot 指导下,激活 Windows 11 要比以往更容易了,但这涉及到道德和法律问题。
起初是 Reddit 用户 loozerr 首先发现了这一问题。他仅使用了一个简单的提问:“是否有脚本可以激活 Windows 11?”
结果这个 AI 工具竟然分享了一个包含具体步骤和 PowerShell 命令的完整激活指南。
虽然这些 PowerShell 单行代码本身并不新鲜(至少从 2022 年 11 月起就已存在),但在 Copilot 中找到这样的回复令人担忧。如下图所示,Copilot 不仅提供了所请求的脚本,还详细说明了如何在 PowerShell 中运行它,甚至提供了外部工具链接。最后只是轻描淡写地警告了使用第三方脚本的潜在安全风险。
本来以为这种情况只是个例,或者是有心之人挖掘出的漏洞,没想到的是,多人尝试之后结果依然如此。其中,外媒 laptopmag 也进行了验证,其发现,不需要任何特殊 Prompt 或“越狱”技巧,仅仅询问“是否有激活 Windows 11 的脚本?”就能获取这些 PowerShell 代码。
而当追问 Copilot 关于这些脚本的合法性时,AI 明确表示使用它们既违反微软服务条款,也被视为非法行为。话虽如此,Copilot 依然能够反复提供相同的非法激活方法,表明这不是偶然的“幻觉”或被巧妙绕过的结果,而是微软 AI 安全措施中的重大疏忽。
对此,不少用户认为,Copilot 显然能够提供指导用户执行非法且潜在有害操作的权限和说明。除了法律风险外,从外部服务器下载第三方激活脚本还可能携带恶意软件、键盘记录器或远程访问木马(RAT)。攻击者可能通过这些工具禁用 Windows Defender 或修改系统文件以逃避检测,进而窃取个人数据、植入后门或破坏系统完整性。
GitHub 仓库设置私有状态,有时还是会出现在 Copilot 回复中?
不止如此,近日国外一家 AI 安全公司 Lasso 发布一篇长文《Wayback Copilot:利用微软的 Copilot 暴露数千个私有 Github 存储库》,称微软的 Copilot AI 助手正在暴露超过 20,000 个来自包括谷歌、英特尔、华为、PayPal、IBM、腾讯以及微软自己在内的公司的私有 GitHub 仓库的内容。
这些属于超过 16,000 个组织的仓库最初是以公开形式发布到 GitHub 上的,但在开发者意识到它们包含了允许未授权访问或其他类型的机密数据的认证凭证后,通常会被设置为私有。然而,即使过了几个月,这些私有的页面仍然可以通过 Copilot 完整地访问到。
Lasso 的研究人员 Ophir Dror 和 Bar Lanyado 在博文中回忆道,他们最初于 2024 年 8 月在 Linkedln 上看到一篇帖子,声称 OpenAI 正在使用私有 GitHub 存储库中的数据进行训练并泄露这些数据。
鉴于这一说法的严重性,该研究团队立即着手进行调查。快速搜索显示,该存储库曾经是公开的,因为其页面仍被 Bing 索引。
然而,当研究员尝试在 GitHub 上直接访问这些页面时,发现它们都 404 了,这证实该存储库现已设为私有。
这就引出了一个重要的问题:ChatGPT 如何能够根据不再公开访问的存储库中的内容返回答案?
为了查明真相,安全研究员反复向 ChatGPT 查询与此存储库相关的数据。每次,它都澄清说它无法直接访问实际数据,而是根据存储库的名称生成假设内容。
研究员了解到,ChatGPT 利用 Bing 作为其搜索引擎,因为它是公开发布的。这种机制解释了人们如何从曾经公开但后来变为私有的存储库中检索信息:数据在公开阶段已被编入索引并保留在 Bing 的缓存中。但仍有两个问题:一旦将存储库设置为私人,存储库中的所有实际内容会发生什么?还有哪些其他聊天可能遵循相同的模式?
深入调查后,Lasso 的研究人员开始调查他们组织存储库是否可能已被暴露。使用 Bing 搜索 Lasso 组织下的存储库后发现,其发现自己的一个存储库已被编入索引。但是,由于该存储库已设置为私有,因此在 GitHub 上访问它会返回 404 错误。经过内部审查证实,该信息曾被错误地短暂公开,之后又被设为私密。
出于对潜在后果的好奇,该团队测试了 ChatGPT,看看它是否可以从索引页面中提取数据。虽然它有时会承认存储库的存在(感谢 Bing 的索引),但它并没有提供任何实际数据。
就在此时,研究员也想到一种可能性:如果 Bing 已将其编入索引,则数据可能会缓存在某个地方,而谁可能是访问这些数据的最佳人选,也许就是 Copilot。有了这样的想法,研究员也开启了验证,最终发现确实可以通过 Copilot 检索到一些“僵尸数据”的缓存快照——即用户认为是私密的或已删除的但仍然可以访问的数据。
其中具体的原因是,微软拥有一个 cc.bingj.com 域名,用于存储已索引页面的缓存版本。Bing 在搜索结果旁边提供了一个小箭头,即使页面已无法访问,用户也可以查看缓存版本。
“我们意识到 GitHub 上的任何数据,即使只是短暂公开过,都可以被像 Copilot 这样的工具索引并潜在暴露。为了全面了解问题的严重程度,我们着手自动识别‘僵尸存储库’(曾经公开但现在私有的存储库)并验证我们的发现。” Lasso 的研究人员 Ophir Dror 和 Bar Lanyado 写道。
最终 Lasso 的研究人员发现全球有 16290 个组织、20580 个 repo 受到影响:
恶意使用 Wayback Copilot 机制
对于这一发现,Lasso 于去年 11 月也在第一时间向微软报告了这一问题,以及向所有受影响的组织发出警报,建议他们轮换或撤销任何被泄露的密钥。
微软将该问题归类为低严重性,称其“影响较小”,并声称这种缓存行为是可以接受的。尽管如此,他们还是迅速做出了反应,在两周内就删除了 Bing 的缓存链接功能,同时禁止所有用户访问 cc.bingj.com。
本以为 Copilot 的这个安全问题就此解决,Lasso 也确认私有数据不再能通过 Bing 缓存获取,但随后他们又有了一个有趣的发现——
在 2025 年 1 月 14 日(微软修复之后),外媒 Techcrunch 报道称,「微软已对一个涉嫌故意开发并使用工具绕过其云 AI 产品安全保护措施的团体采取了法律行动。」其中提到,相关工具的仓库已从 GitHub 上移除。
再次出于好奇心,Lasso 又试了试,结果发现,虽然这些仓库已被移除(典型的 GitHub 404 错误),但他们还是成功获取了那个恶意软件包的内容。
Lasso 最终确定,微软的修复措施只是切断公众对一个特殊的 Bing 用户界面(曾位于 cc.bingj.com)的访问。然而,这个修复并没有清除缓存中的私有页面。因此,这些私密信息仍然可以通过 Copilot 获取,并提供给询问的 Copilot 用户。
Lasso 的研究人员解释说:
尽管 Bing 的缓存链接功能被禁用了,但缓存页面依旧出现在搜索结果中。这表明该修复只是一个临时补丁,虽然阻止了公众访问,但底层数据并未完全移除。
当我们重新审视对微软 Copilot 的调查时,我们的怀疑得到了证实:Copilot 仍然可以访问那些不再对人类用户可用的缓存数据。简而言之,修复只是部分解决了问题,人类用户无法检索缓存数据,但 Copilot 仍然可以访问它。
写在最后
毋庸置疑,Copilot 作为 AI 辅助工具,仍面临众多亟待解决的安全挑战。无论是面对其生成的内容,还是其引用的资源,我们都需保持清醒的判断力。在日常工作中,程序员避免将敏感信息直接嵌入代码是基本准则——即使后期意识到错误并将仓库设为私有,损害往往已经不可挽回。在拥抱 AI 技术便利的同时,我们不能放松对数字安全和道德边界的警惕。
来源:
https://www.lasso.security/blog/lasso-major-vulnerability-in-microsoft-copilot
https://www.windowscentral.com/software-apps/windows-11/windows-11-pirates-have-a-new-and-unlikely-ally-microsoft-copilot
推荐阅读:
