Уязвимость в биллинговой системе GitHub Copilot

Разработчик под псевдонимом Angry-Orangutan выявил уязвимость в биллинговой системе GitHub Copilot, позволяющую использовать дорогие премиум-модели, такие как Claude Opus 4.5, без списания лимитов. Microsoft отреагировала на этот инцидент, закрыв тикет со статусом not planned, что значит, решения проблемы не предвидится. Баг заключается в том, как Copilot рассчитывает запросы: стоимость определяется по модели, которая инициирует чат, а вызовы субагентов и инструментов не тарифицируются отдельно. Если начать сессии с бесплатной моделью (например, GPT-5 Mini) и настроить субагента на премиум, все запросы будут проходить через дорогую модель без дополнительных затрат. Также разработчик предложил второй способ: начать с сессии премиум-модели и с помощью инструментов заставить её работать непрерывно. В ходе тестирования один запрос работал более трех часов, что обошлось всего в 3 кредита вместо сотен. Microsoft Security Response Center (MSRC) заявил, что такие обходы не входят в их сферу ответственности, и порекомендовали создать публичный баг-репорт, который в трекере VS Code также был закрыт. На данный момент уязвимость остается неустраненной.

Помогите проекту, поделитесь с друзьями ;)

Добавить комментарий