AI bendrovių saugumo spragos: GitHub nutekėjimai

Tyrimas, apimantis 50 pirmaujančių AI bendrovių, atskleidė įdomesnių faktų: 65% jų buvo nutekinę slaptus duomenis “GitHub" platformoje.

Nutekinti duomenys tai API raktai, prieigos tokenai, kiti credentials ir net nuorodos į vidinius modelius bei mokymo duomenis. Dalis šių nutekėjimų buvo rasti ištrintuose fork’uose ar kūrėjų asmeninėse repozitorijose, vietose, kurių įprasti skeneriai dažnai nepasiekia.

Įdomu, kad net įmonės su 0 viešų repozitorijų ir vos keliolika narių buvo nutekinusios slaptus raktus, o vienintelės, kurios išvengė nutekėjimų, greičiausiai turėjo stiprią slaptumų valdymo politiką.

Dalis incidentų (pvz. LangChain ir ElevenLabs) buvo greitai sutvarkyti, tačiau beveik pusė pranešimų liko be atsako, nes daugelis AI startuolių net neturi oficialaus disclosure kanalo (kur gali įmonėm paskelbti apie jų pažeidžiamumus).

Pagrindinis dalykas ką reikėtų įsijungti tai slaptų raktų skenavimą visose VCS (GitHub, GitLab ir kt.).
Nuolat atnaujinkite skenerius, kad jie atpažintų naujus AI paslaugų tokenus (pvz. nauji HuggingFace ar W&B formatai).

AI sektoriuje tempas milžiniškas, bet saugumas negali buti neprižiūrėtas, greitis be saugumo = duomenų nutekėjimas...