Свежие новости

Разработчик под псевдонимом Angry-Orangutan обнаружил в системе биллинга GitHub Copilot уязвимость, позволяющую пользователям обходить лимиты и безвозмездно использовать дорогие модели, такие как Claude Opus 4.5. По итогам рассмотрения Microsoft закрыла запрос со статусом «не запланировано», отказавшись от исправления. Основная проблема заключается в том, как Copilot учитывает запросы: если сессия начинается с бесплатной модели (например, GPT-5 Mini) и пользователи подключают субагента к премиум-модели, все вызовы будут осуществляться без затрат. Также разработчик описал альтернативный метод, при котором, начиная с премиум-модели и используя цикл вызовов инструментов, удается существенно экономить кредиты. Например, его тестовый запрос продолжался более трех часов и обошелся всего в 3 кредита вместо ожидаемых сотен. Кроме того, он обнаружил, что типы сообщений определяются на клиентской стороне без должной проверки на API. После обращения в Microsoft Security Response Center (MSRC) разработчику рекомендовали оставить публичный баг-репорт, так как обход биллинга не является их компетенцией. Однако в итоговом публичном трекере VS Code тикет также был закрыт со статусом «не запланировано». На момент написания данной статьи уязвимость остается активной. как Copilot учитывает запросы типы сообщений определяются

News Reporter