65%头部AI公司在GitHub泄露密钥与令牌等已验证密钥
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
最新调查显示,65%的知名AI公司在GitHub上泄露API密钥和敏感凭证,严重威胁企业安全。研究建议实施强制性密钥扫描和漏洞披露渠道,以增强安全防护。
🎯
关键要点
- 最新调查显示,65%的知名AI公司在GitHub上泄露API密钥和敏感凭证,威胁企业安全。
- Wiz研究团队对50家领先AI公司进行调查,发现行业普遍存在安全漏洞。
- 泄露的密钥出现在已删除的分支、代码片段和开发者仓库中,常规扫描工具通常忽略这些攻击面。
- 研究采用三维分析方法,涵盖深度、边界和覆盖范围,发现更多安全威胁。
- 重大泄露案例包括Langsmith API密钥和ElevenLabs企业级凭证,影响广泛。
- 65%的涉事公司总估值超过4000亿美元,小型组织同样面临泄露风险。
- Wiz专家建议AI公司实施强制性密钥扫描和建立漏洞披露渠道,以增强安全防护。
- AI服务提供商需开发定制检测方案,以防止平台凭证泄露。
- 组织成员和贡献者构成扩展攻击面,需在入职时实施安全策略。
- 随着AI应用加速,员工个人仓库应视为企业基础设施的一部分,确保安全与速度并重。
❓
延伸问答
哪些AI公司在GitHub上泄露了敏感密钥?
65%的知名AI公司在GitHub上泄露了API密钥和敏感凭证。
泄露的密钥主要出现在什么地方?
泄露的密钥出现在已删除的分支、代码片段和开发者仓库中。
Wiz研究团队是如何进行安全调查的?
Wiz研究团队采用三维分析方法,涵盖深度、边界和覆盖范围,审查完整的提交历史和工作流日志等。
有哪些重大泄露案例?
重大泄露案例包括Langsmith API密钥和ElevenLabs的企业级凭证。
专家对AI公司的安全建议是什么?
专家建议AI公司实施强制性密钥扫描和建立漏洞披露渠道,以增强安全防护。
小型组织在密钥泄露方面面临什么风险?
小型组织同样面临泄露风险,即使公共仓库最少的公司也不例外。
➡️
