Две трети топовых ИИ-компаний допустили утечки секретов на GitHub

Исследование компании по облачной безопасности Wiz показало, что 65 % компаний из списка Forbes AI 50 допустили утечку API-ключей, токенов и других учетных данных на GitHub. По мнению экспертов, это могло привести к раскрытию приватных моделей, данных обучения ^[1] или внутренней структуры организаций, что несёт серьёзные риски безопасности.

Наиболее часто секреты обнаруживались в файлах Jupyter Notebook и Python-скриптах. Среди утечек были токены Hugging Face, Azure и W&B. В одном случае скомпрометированный токен Hugging Face позволял потенциально получить доступ к тысяче приватных моделей, что подчёркивает масштаб проблемы.

Wiz публично назвала только две компании, которые оперативно отреагировали на утечки — ElevenLabs и LangChain. При этом почти половина уведомлений о найденных секретах, отправленных другим организациям, осталась без ответа, что создаёт значительный риск компрометации корпоративных данных и моделей.

Специалисты компании подчёркивают, что утечки на GitHub остаются одной из самых частых причин инцидентов безопасности в AI-среде. Они советуют внедрять строгие процессы контроля секретов, использовать шифрование и автоматические проверки перед публикацией кода, чтобы минимизировать вероятность раскрытия критически важных данных.

Делегируйте часть рутинных задач вместе с BotHub! ^[2] Для доступа к сервису не требуется VPN и можно использовать российскую карту. По ссылке ^[3] вы можете получить 100 000 бесплатных токенов для первых задач и приступить к работе с нейросетями прямо сейчас!

Источник ^[4]