クラウドセキュリティ大手のWizは、世界最大級のAI企業に関連するGitHubリポジトリを分析し、多くの企業が機密情報を漏洩していることを確認しました。
漏洩した機密情報は、GitHub自身のスキャナーやリポジトリ所有者によるスキャン、マーケティング目的で第三者が実施する自動スキャンなどで発見されることがよくあります。
このクラウドセキュリティ企業は、secrets sprawl調査において異なるアプローチを取り、全コミット履歴、フォークのコミット履歴、削除されたフォーク、ワークフローログ、gistsなどを対象としたより深いスキャンを実施しました。
Wizのスキャンは、コア組織のメンバーやコントリビューターも対象とし、彼らが自身の公開リポジトリでうっかり企業の機密情報を公開してしまう可能性も調査しました。さらに、従来のスキャナーでは見逃されがちな、あまり一般的でないAI関連の機密情報もターゲットとしました。
Wizの分析によると、Forbes AI 50リストに掲載されているAI企業のうち、GitHub上に活動がある企業の65%が機密情報を漏洩していました。「確認された機密情報漏洩のある企業の総評価額は4,000億ドルを超えています」とWizは指摘しています。
漏洩した機密情報の種類には、APIキー、トークン、認証情報が含まれており、Google API、Weights & Biases、Flickr、Infura、ElevenLabs、Hugging Faceなどに関連するものもありました。
漏洩した一部の機密情報によっては、非公開モデルや学習データ、組織構造が露呈する可能性もありました。
影響を受けたAI企業には通知が行われました。ElevenLabsやLangchainのような企業は迅速な対応が称賛されました。しかし、Wizによると、開示の約半数はベンダーに届かなかったか、返答がありませんでした。
「多くの企業が公式な開示チャンネルを持たず、返信もなく、または問題解決に至りませんでした」とWizは述べています。
このセキュリティ企業は、興味深い発見もいくつか強調しました。公開リポジトリを持たず、組織メンバーが十数人しかいない企業が機密情報を漏洩していた一方で、60の公開リポジトリと28人の組織メンバーを持つ企業は一切機密情報を漏洩していませんでした。Wizはこれを効果的な機密情報管理の証拠と考えています。
WizはAI企業(この推奨事項は他の種類の組織にも当てはまります)に対し、公開VCSの機密情報スキャンを義務付けること、第三者が機密情報漏洩を報告しやすいよう開示チャンネルを設けること、独自の機密情報タイプの検出を優先することなどでsecrets sprawlを防ぐよう助言しています。
翻訳元: https://www.securityweek.com/many-forbes-ai-50-companies-leak-secrets-on-github/
