Исследование компании по облачной безопасности Wiz показало, что 65 % компаний из списка Forbes AI 50 допустили утечку API-ключей, токенов и других учетных данных на GitHub. По мнению экспертов, это могло привести к раскрытию приватных моделей, данных обучения или внутренней структуры организаций, что несёт серьёзные риски безопасности.
Наиболее часто секреты обнаруживались в файлах Jupyter Notebook и Python-скриптах. Среди утечек были токены Hugging Face, Azure и W&B. В одном случае скомпрометированный токен Hugging Face позволял потенциально получить доступ к тысяче приватных моделей, что подчёркивает масштаб проблемы.
Wiz публично назвала только две компании, которые оперативно отреагировали на утечки — ElevenLabs и LangChain. При этом почти половина уведомлений о найденных секретах, отправленных другим организациям, осталась без ответа, что создаёт значительный риск компрометации корпоративных данных и моделей.
Специалисты компании подчёркивают, что утечки на GitHub остаются одной из самых частых причин инцидентов безопасности в AI-среде. Они советуют внедрять строгие процессы контроля секретов, использовать шифрование и автоматические проверки перед публикацией кода, чтобы минимизировать вероятность раскрытия критически важных данных.
Делегируйте часть рутинных задач вместе с BotHub! Для доступа к сервису не требуется VPN и можно использовать российскую карту. По ссылке вы можете получить 100 000 бесплатных токенов для первых задач и приступить к работе с нейросетями прямо сейчас!
Источник
Источник: habr.com