65%头部AI公司在GitHub泄露密钥与令牌等已验证密钥
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
最新调查显示,65%的知名AI公司在GitHub上泄露API密钥和敏感凭证,严重威胁企业安全。研究建议实施强制性密钥扫描和漏洞披露渠道,以增强安全防护。
🎯
关键要点
- 最新调查显示,65%的知名AI公司在GitHub上泄露API密钥和敏感凭证,威胁企业安全。
- Wiz研究团队对50家领先AI公司进行调查,发现行业普遍存在安全漏洞。
- 泄露的密钥出现在已删除的分支、代码片段和开发者仓库中,常规扫描工具通常忽略这些攻击面。
- 研究采用三维分析方法,涵盖深度、边界和覆盖范围,发现更多安全威胁。
- 重大泄露案例包括Langsmith API密钥和ElevenLabs企业级凭证,影响广泛。
- 65%的涉事公司总估值超过4000亿美元,小型组织同样面临泄露风险。
- Wiz专家建议AI公司实施强制性密钥扫描和建立漏洞披露渠道,以增强安全防护。
- AI服务提供商需开发定制检测方案,以防止平台凭证泄露。
- 组织成员和贡献者构成扩展攻击面,需在入职时实施安全策略。
- 随着AI应用加速,员工个人仓库应视为企业基础设施的一部分,确保安全与速度并重。
➡️
