- 研究者によると、Forbesトップ50のAI企業の65%が秘密情報を漏洩
- これらはトークン、APIキー、機密認証情報の形で発見
- Wizは「深度・境界・カバレッジ」アプローチで漏洩を特定
AI企業はサイバーセキュリティやデータプライバシーに関してかなり波乱の歴史を持っていますが、新たなWizの調査によると、状況は依然として改善されていません。
Forbesのトップ50の主要AI企業をベンチマークとして調査したところ、専門家たちはこれらのトップAI企業のほぼ3分の2(65%)がGitHub上で検証済みの秘密情報を漏洩していることを明らかにしました。
これらのトークン、機密認証情報、APIキーは、削除されたフォークや開発者のリポジトリ、gistsなど、ほとんどの研究者やスキャナーが通常は見つけられない場所に深く埋もれていました。
返信なし
Wizは、これらのGitHubリポジトリに対して「深度・境界・カバレッジ」フレームワークを用いてアプローチし、新しいソースへのアクセスや検索を可能にし、「表面上の秘密」よりもさらに深くスキャンして、従来の検索では発見できない情報を明らかにしたと述べています。
彼らの調査の「境界」部分では、発見範囲をコントリビューターや組織メンバーにまで拡大しました。これらの人々はしばしば「自分のパブリックリポジトリやgistsに、会社関連の秘密情報をうっかりチェックインしてしまう」ことがあります。
カバレッジは、Tavily、Langchain、Cohere、Pineconeなど、従来のスキャナーでは見落とされがちな新しいタイプの秘密情報に関係しています。
興味深いことに、研究者がこれらの漏洩を対象企業に通知した際、通知のほぼ半数は、連絡が届かなかったり、公式な通知チャンネルがないために返答がなかったり、企業側が返信や問題解決を行わなかったりしました。
研究者たちは、組織の規模に関わらず、秘密情報スキャンを即座に導入することを交渉の余地のない防御策として推奨しています。
また、自社の秘密情報タイプの検出を優先することも勧めています。「多くの企業が自社のAPIキーを”自分で使いながら”漏洩しています。もし自社の秘密情報のフォーマットが新しい場合は、積極的にベンダーやオープンソースコミュニティと連携して対応を追加しましょう。」
最後に、企業は情報開示用の専用チャンネルを準備することを推奨しています。開示プロトコルは、脆弱性や漏洩に対して会社が先手を打つための重要なセキュリティ対策となり得るため、これらのチャンネルは重要な情報共有源となります。
GoogleニュースでTechRadarをフォロー および お気に入りソースに追加 して、専門家によるニュース、レビュー、意見をフィードで受け取りましょう。必ずフォローボタンをクリックしてください!
もちろん、TikTokでTechRadarをフォロー して、ニュース、レビュー、開封動画などを動画形式でチェックし、さらに WhatsApp でも定期的な最新情報を受け取れます。
