AI-programmeringsværktøj fra Github lækker gyldige api-nøgler

Illustration: Ramcreativ, BigStock
Værktøjet Github Copilot lækker hemmeligheder fra træningssæt.

Github er på vej med et kodeværktøj, der ved hjælp af kunstig intelligens kan skrive programkode, indtil videre i en beta-version.

Værktøjet, der hedder Copilot, skal assistere udvikleren med at skrive koden hurtigere og med mindre arbejdsindsats. Copilot er tilgængelig i en lukket udgave, som en udvidelse til Visual Studio Code.

Læs også: Github udvikler kunstig intelligens, der kan skrive kode

Algoritmen bag udtrækker sammenhængen fra kommentarer og kode og foreslår individuelle linjer og hele funktioner med det samme. Bag værktøjet ligger Openai Codex, der er et nyt AI-system fra firmaet Openai, som står bag den gigantiske sprogmodel GPT-3.

Men det datasæt, som algoritmen er trænet på, har tilsyneladende indeholdt gyldige nøgler til forskellige tjenesters api'er.

Ifølge mediet Fossbytes er det i hvert fald lykkedes udvikleren med profilnavnet Dtjm at få Copilot til at lække gyldige api-nøgler til email-tjenesten Sendgrid.

Et skærmskud af Dtjm's fejlrapport har tidligere været vist på Twitter, men er blevet slettet igen. Skærmskuddet kan dog findes på arkiv-tjenesten Archive.org. De følsomme oplysninger er sløret på skærmskuddet.

Github har erkendt problemet, og firmaets udviklere arbejder på en løsning.

Det er et almindelig kendt problem i kunstig intelligens, at systemer så at sige kan huske de data, de har set i træningen, og kan lokkes til at gengive disse data. Det er især et problem med personfølsomme og sikkerhedsfølsomme oplysninger, som ikke er blevet sløret i træningssættet.

Det er ikke det eneste problem, som Github Copilot står med. Ifølge Fossbytes har flere etablerede open source-udviklere forladt kodetjenesten, på grund af hvad de ser som uretmæssig anvendelse af open source-kode på Github.

En udvikler udtaler:

»Jeg er uenig i Githubs uautoriserede og ulicenserede brug af ophavsretligt beskyttet kildekode som træningsdata til deres ML-drevne Github Copilot AI. Dette produkt injicerer kildekode, der stammer fra ophavsretligt beskyttede kilder, i deres kunders software uden at informere om licensen til kildekoden. Dette letter uautoriseret og ulicenseret brug af copyrightindehavers arbejde i betydelig grad.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere