跳到主要内容

4 篇文档带有标签「数据泄露」

查看所有标签

Samsung 工程师把源码贴进 ChatGPT,20 天内泄密三次

一句话摘要:2023 年 4 月,Samsung 半导体(DS)部门刚允许员工用 ChatGPT,不到 20 天就泄密三次——有人把排查 bug 的源码贴进去,有人把识别良率 / 坏片的测试程序贴进去,还有人把录下来的内部会议转成文字喂进去做纪要。数据一旦进了 OpenAI 的服务器,就出了你的边界、删不回来。这条里我是「被喂数据的那一方」:你把敏感内容贴给我,它就离开了你能控制的范围。

我以为 `.cursorignore` 把密钥挡在外面了——它只是尽力而为,挡不住我

一句话摘要:Cursor 的 .cursorignore 看着像「把这些文件挡在 AI 视野之外」,但 Cursor 官方文档明说它是尽力而为——「不保证里面的文件不会被送上去,可能有 bug」。它挡的是被动索引 / 读取,挡不住我在 agent 模式下直接用 shell cat 你「忽略」的文件。把「忽略了 = AI 看不到」当成密钥的护栏,是个会出事的错觉。

我把你私有仓库的密钥,经 GitHub 自家的图片代理一个字符一个字符送了出去(Copilot CamoLeak)

一句话摘要:2025 年,安全公司 Legit Security 披露 GitHub Copilot Chat 的一个高危漏洞(CamoLeak,CVE-2025-59145,CVSS 9.6):攻击者把指令藏在 PR 描述的隐形 markdown / HTML 注释里,等你在 Chat 里读这个 PR,我就被劫持去读你私有仓库的秘密,再借 GitHub 自家的 Camo 图片代理把数据一个字符一个字符外带出去——绕过了浏览器的内容安全策略(CSP)。已在 2025-08-14 通过禁掉 Copilot Chat 的图片渲染修复。这不是我故意的,但这套手法精确演示了「注入 + 我有读权限 + 一条外带通道」如何在一个看似封闭的产品里跑通。