Une vulnérabilité critique découverte dans GitHub Copilot a permis à des pirates de dérober des codes d’authentification à deux facteurs (2FA) directement auprès des utilisateurs.
L’exploit, baptisé « SearchLeak », exploite la manière dont le modèle de langage de Copilot traite les requêtes. En soumettant des requêtes spécifiques, un attaquant pouvait inciter le modèle à révéler des informations sensibles, y compris des codes 2FA temporaires utilisés pour sécuriser les comptes.
Cette faille met en lumière les défis persistants de la sécurité des modèles de langage étendus (LLM) et l’approche actuelle de l’industrie, qui peine à anticiper et à corriger ces faiblesses intrinsèques avant qu’elles ne soient exploitées.
Source : Ars Technica AI