НаверхЛидеры ИИ массово сливают данные на GitHub
Так, 65% крупных компаний в сфере ИИ случайно раскрыли токены и ключи, и утечки продолжают накапливаться.
Основные идеи
Мнение автора
Работа Wiz с GitHub показывает, как важно заглядывать глубже и обнаруживать скрытые утечки с помощью фреймворка «Глубина, периметр и покрытие». Компаниям стоит внедрить скрытое сканирование и отдельный канал раскрытия информации, чтобы защищать свои данные.
Компании в сфере ИИ до сих пор борются с вопросами кибербезопасности и защиты данных, и новое исследование Wiz показывает, что прогресса почти нет.
Эксперты взяли в качестве ориентира 50 крупнейших компаний в области ИИ по версии Forbes и обнаружили, что почти две трети из них — 65% — случайно сливали секреты на GitHub.
Речь идёт о токенах, ключах API и конфиденциальных учетных данных, спрятанных так глубоко, что обычные сканеры и исследователи едва ли их найдут: в удалённых форках, репозиториях разработчиков и даже в Gist-файлах. Такой вот тихий хаос в мире больших технологий.
Wiz использует фреймворк «Глубина, периметр и покрытие» для работы с репозиториями GitHub. Этот подход помогает находить новые источники и выходить за рамки поверхностных секретов, позволяя проводить глубокое сканирование, которое выявляет больше, чем стандартные методы поиска.
Периметральный компонент исследования направлен на расширение возможностей обнаружения информации у сотрудников и участников организаций. Они могут случайно размещать корпоративные секреты в своих публичных репозиториях и базах данных.
Покрытие включает новые типы секретов, которые часто остаются незамеченными традиционными сканерами, такими как Tavily, Langchain, Cohere или Pinecone.
Когда исследователи сообщили об утечках, почти половина уведомлений осталась без ответа. Это произошло либо из-за отсутствия официального канала для оповещений, либо компании не предприняли никаких действий для решения проблемы.
Исследователи советуют немедленно внедрить скрытое сканирование как обязательную меру защиты, независимо от размера организации.
Они также рекомендуют сосредоточиться на выявлении собственных типов секретов. Многие компании случайно публикуют свои ключи API во время тестирования. Если формат секрета уникален, стоит привлекать поставщиков и сообщество разработчиков с открытым исходным кодом для поддержки.
Кроме того, они советуют создать специальный канал для раскрытия информации. Такой протокол может стать важным элементом безопасности и помочь оперативно выявлять уязвимости и утечки.
