GitHub Copilot, l’assistant de codage alimenté par l’intelligence artificielle de Microsoft et OpenAI, est devenu un outil incontournable pour de nombreux développeurs. Son rôle est de suggérer du code en temps réel, facilitant ainsi la programmation et accélérant le processus de développement. Cependant, un incident récent a mis en lumière un problème majeur : récemment, un utilisateur de GitHub Copilot a signalé que l'outil s'était activé automatiquement dans ses espaces de travail privés locaux sans son consentement.Ce dysfonctionnement a exposé des données sensibles et soulève des questions sur la gestion du consentement et de la confidentialité dans l’utilisation de cette technologie. Cette situation soulève des préoccupations cruciales sur la sécurité des outils d’IA dans les environnements de développement et sur le respect des choix des utilisateurs.
L'incident a été porté à l'attention de la communauté des développeurs après qu’un utilisateur a signalé, via GitHub, que Copilot s'était activé de manière autonome dans ses espaces de travail privés locaux. Ces espaces, qui contiennent des informations sensibles comme des clés d'API, des certificats, et d'autres secrets, ont vu l’activation de l'outil sans que l’utilisateur n'ait explicitement autorisé cette action. Ce comportement de GitHub Copilot a non seulement mis en péril la sécurité de ces données, mais il a aussi enfreint la confiance fondamentale entre l'outil et l'utilisateur.
Dans un post détaillé sur GitHub, l'utilisateur a expliqué que, bien que Copilot ait été configuré pour ne fonctionner que sur certains fichiers ou dans des espaces de travail publics, l'outil a décidé de s'activer dans tous ses environnements de développement, y compris les espaces de travail privés. Cette activation non sollicitée a eu des conséquences directes sur la sécurité et la confidentialité des projets, car certaines données sensibles pourraient avoir été envoyées à des serveurs externes sans que l'utilisateur n'en ait été informé ni en ait donné son consentement. :
J'active Copilot pour des fenêtres spécifiques, car tous mes dépôts ne sont pas publics. Certains appartiennent à des clients pour lesquels je travaille et qui n'ont pas consenti à ce que je partage le code avec des tiers.
Aujourd'hui, Copilot s'est activé pour toutes mes fenêtres VSCode ouvertes sans mon consentement. J'ai activé le mode agent, donc vous pouvez ou non avoir une copie de tous les fichiers contenant les clés, les secrets yaml, les certificats et ainsi de suite. Ce n'est pas correct.
Je n'ai que 2 fenêtres où j'ai octroyé les droits à Copilot, toutes les autres étaient hors limites et pourtant je retourne au travail et je trouve qu'elles ont toutes activé Copilot et qui sait quel code est allé où.
Si vous avez l'intention de devenir un outil de développement de code sérieux, alors corrigez ce problème pour qu'il ne se reproduise plus. Les espaces de travail VSCode où github est désactivé doivent le rester. Merci de votre compréhension.
Aujourd'hui, Copilot s'est activé pour toutes mes fenêtres VSCode ouvertes sans mon consentement. J'ai activé le mode agent, donc vous pouvez ou non avoir une copie de tous les fichiers contenant les clés, les secrets yaml, les certificats et ainsi de suite. Ce n'est pas correct.
Je n'ai que 2 fenêtres où j'ai octroyé les droits à Copilot, toutes les autres étaient hors limites et pourtant je retourne au travail et je trouve qu'elles ont toutes activé Copilot et qui sait quel code est allé où.
Si vous avez l'intention de devenir un outil de développement de code sérieux, alors corrigez ce problème pour qu'il ne se reproduise plus. Les espaces de travail VSCode où github est désactivé doivent le rester. Merci de votre compréhension.
L’activation automatique de Copilot dans des espaces de travail privés n’est pas seulement une nuisance, c'est un véritable problème de sécurité. Lorsqu’un utilisateur choisit de travailler sur un projet privé, il suppose que ses données sont protégées par des paramètres stricts de confidentialité. Cependant, lorsque Copilot se déclenche sans autorisation dans ces environnements, il y a un risque tangible que des informations sensibles soient partagées avec des serveurs distants. Ces informations peuvent inclure des mots de passe, des configurations de base de données, des clés API ou même des fragments de code propriétaires, qui ne devraient jamais être exposés sans un contrôle clair et une confirmation explicite de l'utilisateur.
Une telle brèche pourrait avoir des conséquences graves, non seulement pour l'utilisateur en question, mais aussi pour ses clients ou partenaires, s'il travaille sur des projets professionnels. De plus, l'activation non sollicitée du service peut également signifier que les suggestions de code générées par Copilot sont basées sur des données privées, ce qui pose des questions sur la confidentialité des modèles d'IA utilisés par GitHub Copilot.
Problèmes de consentement et de transparence
L'une des préoccupations majeures soulevées par cet incident est le respect du consentement des utilisateurs. GitHub Copilot, comme de nombreux outils alimentés par l'IA, nécessite que les utilisateurs aient un contrôle total sur son activation et son utilisation. L'activation automatique dans des espaces de travail privés sans préavis ni permission enfreint ce principe fondamental. Les utilisateurs doivent pouvoir choisir explicitement d'activer ou de désactiver l'outil dans des projets spécifiques, qu'ils soient publics ou privés.
Ce genre de dysfonctionnement peut aussi être vu comme un manque de transparence de la part de GitHub. Si un tel outil est capable de s'activer sans intervention de l'utilisateur, cela soulève des questions légitimes sur la façon dont les informations sont traitées, où elles sont envoyées, et comment elles sont utilisées. Les utilisateurs doivent avoir une compréhension claire des...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Stéphane le calme
Peut-on réellement faire confiance au code généré par l'IA sans relecture humaine ?
