ИИ-помощник для программистов от Microsoft позволяет обойти лицензию GPL и выдаёт чужие ключи API — новости на Tproger

Поделиться

Мы уже рассказывали о GitHub Copilot, который помогает программистам писать код. Как оказалось, этот софт позволяет обойти лицензию  General Public License (GPL), поскольку цитирует большие куски проектов с открытым кодом.

Copilot не копирует код, а создаёт «производный продукт» — это значит, что проекты, написанные с помощью ИИ от Microsoft, можно распространять под лицензиеями Copyleft или AGPL. То есть изначальная лицензия GPL «вымывается» из ПО.

Есть «фича» и пострашнее. Эксперт в области ИИ Алекса Шампандард обратил внимание, что Copilot тащит в проект действительные API-ключи из открытых репозиториев.

Copilot was trained on "public" repositories, which GitHub knew contain secrets by mistake, with a model that OpenAI knew can memorize things verbatim, without consent and possibly against the terms of the licenses.

Yet the leak is somehow it's the fault of repository owners? 🤔

— Alex J. Champandard (@alexjc) July 5, 2021

Дело в том, что иногда пользователи пренебрегают безопасностью и оставляют секретную информацию в публичных репозиториях. А GitHub Copilot учился именно на них, поэтому конфиденциальная информация может случайно попасть в чужой код в качестве подсказки от ИИ.

Тестировщик мобильных и web-приложений

ООО «Табер Трейд», сеть магазинов «Подружка», Удалённо, До 120 000 ₽

tproger.ru

Вакансии на tproger.ru

В «проблемах с безопасностью» обвиняют GitHub Copilot: Microsoft скармливали репозитории без согласия их создателей. Но в этой истории есть и вина пользователей, которые оставляют секретную информацию в открытом доступе.

Так что в следующий раз несколько раз подумайте, прежде чем сохранять проект в публичном репозитории. Иначе могут случиться такие казусы.

Источник: SecurityLab

Источник: tproger.ru

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
murbus
Добавить комментарий