A Wiz, uma empresa de segurança em nuvem, analisou repositórios GitHub de grandes empresas de IA e descobriu que muitos vazaram segredos verificados que poderiam revelar sensível informação. Os segredos vazados são normalmente encontrados pelos scanners do GitHub, verificações dos proprietários do repositório e verificações automatizadas de terceiros para marketing.
A empresa de segurança em nuvem buscou uma nova abordagem em seu estudo de expansão de segredos, realizando varreduras completas que incluíam histórico completo de commits, históricos de bifurcações, bifurcações excluídas, logs de fluxo de trabalho e essências.
As varreduras da Wiz visaram os principais membros da organização e seus repositórios públicos para identificar qualquer exposição potencial de segredos da empresa. Eles também se concentraram em segredos menos comuns relacionados à IA que os scanners tradicionais podem ignorar.
Wiz análise, com foco nas empresas de IA da lista Forbes AI 50, mostrou que 65% das empresas com presença no GitHub vazaram segredos. “No total, as empresas com vazamentos secretos verificados estão avaliadas em mais de US$ 400 bilhões”, observou Wiz.
Os segredos vazados incluíam chaves de API, tokens e credenciais para serviços como Google API, Weights & Biases, Flickr, Infura, ElevenLabs e Hugging Face.
Alguns dos segredos vazados podem ter exposto modelos privados, dados de treinamento e estruturas organizacionais.
Composição de IAAs empresas foram informadas sobre a situação. ElevenLabs e Langchain foram reconhecidos por suas ações rápidas. No entanto, Wiz observou que quase metade de suas notificações não chegou aos fornecedores ou ficou sem resposta.
“Muitas empresas não tinham um canal oficial de divulgação, não responderam e/ou não resolveram o problema”, disse Wiz.
A empresa de segurança descobriu que uma empresa sem repositórios públicos e cerca de 12 membros vazou segredos, enquanto uma empresa com 60 repositórios públicos e 28 membros manteve seus segredos seguros, sugerindo boas práticas de gestão.
Wiz aconselha empresas de IA e outras organizações a evitar vazamentos secretos, aplicando a varredura secreta pública de VCS, criando canais de divulgação para relatar vazamentos e concentrando-se na detecção de segredos proprietários.