Новое исследование показало, что почти две трети ведущих частных компаний в сфере ИИ сливали конфиденциальную информацию на GitHub. Аналитики Wiz изучили участников списка Forbes AI 50 и подтвердили, что 65% из них раскрыло подтверждённые секретные данные, такие как API-ключи, токены и учётные записи. Совокупная стоимость пострадавших организаций оценивается более чем в 400 млрд долларов.
Опубликованный на днях документ содержит сведения о том, что стремительные инновации в области искусственного интеллекта опережают базовые методы кибербезопасности. Даже компании с минимальным количеством публичных репозиториев обнаружили утечки информации.
Чтобы выявить эти уязвимости, фреймворк Wiz Depth, Perimeter and Coverage углублённо анализировал историю коммитов, удалённые форки, гистограммы и даже личные репозитории участников. Этот подход помог раскрыть секреты, скрытые в малоизвестных или удалённых частях кодовых баз, которые стандартные сканеры часто пропускают.
Среди наиболее часто утекающих учётных данных были ключи API от Weights & Biases, ElevenLabs и Hugging Face. Некоторые из них могли предоставлять доступ к закрытым данным обучения или организационной информации — критически важным ресурсам для разработки ИИ.
Хотя некоторые компании, включая LangChain и ElevenLabs, оперативно приняли меры по устранению слабых мест, ситуация с раскрытием информации в целом остаётся неравномерной. Почти половина всех сообщений об уязвимостях либо осталась без ответа, либо не достигла своих целей. Во многих организациях отсутствовал официальный процесс получения и реагирования на такие сообщения, что указывает на значительный пробел в корпоративной безопасности.
Чтобы противостоять этим угрозам, исследователи призывали ИИ-стартапы внедрить обязательное сканирование секретных данных во всех публичных репозиториях, создать чёткие каналы раскрытия информации для внешних специалистов и разработать собственные сканеры для своих уникальных типов секретов. «Скорость не должна идти в ущерб безопасности. Командам, создающим будущее ИИ, необходимо действовать сообща», — заявили в Wiz.
Усам Оздемиров
