AI初创公司GitHub源码泄露,涉敏感凭证与模型数据
最新研究指出,全球顶尖私有AI企业在GitHub平台上频繁暴露API密钥和访问令牌,这一安全隐患可能波及企业的专属模型、训练数据集以及内部组织的敏感信息。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
云安全公司Wiz的最新调研显示,全球近三分之二的头部私有AI企业都在GitHub上泄露过API密钥与访问凭证,这不禁令人担忧行业扩张速度已超出安全管控能力的承受范围。
在对《福布斯》AI 50强企业进行排查时,Wiz在65%的企业中发现了经过核实的机密信息泄漏情况,这些企业的总估值已突破4000亿美元。
尽管问题严重,但近半数被Wiz披露的企业要么未能及时响应安全预警,要么从未对披露报告作出回应,反映出这些企业在安全事件处置机制方面存在明显短板。
被泄露的凭证中包含可能触及私有AI模型架构、训练数据细节乃至内部组织信息的密钥,这表明在AI领域,产品上市的速度压力正持续挤压安全开发流程的落地空间。
Wiz在一篇技术博客中分析道:"试想那些散落在已删除分支、代码片段和开发者仓库深处的API密钥、访问令牌和敏感凭证——大多数扫描工具根本不会触及这些角落。部分泄露信息可能直接暴露企业组织架构、核心训练数据,甚至商业机密模型。"
据Wiz透露,部分遭泄露的凭证关联着Hugging Face、Weights & Biases和LangChain等主流AI平台,攻击者凭借这些凭证足以获取私有模型或敏感训练数据集。
影响范围更广
业内分析师指出,云存储配置错误作为老生常谈的安全漏洞已持续困扰行业十余年,并列举了AWS S3泄密事件等历史案例。
尽管问题模式相似,但随着泄露资产类型扩展到AI模型、训练数据和复杂开发流程,潜在危害程度已呈几何级增长。
网络安全分析师Sunil Varkey对此表示:"效率与安全之间的博弈,正是导致云配置疏漏、密钥管理失当、设计阶段缺乏安全考量以及工具链存在缺陷等问题的根源所在。其影响可能远超常规数据泄露范畴,因为AI安全事件往往同时冲击组织的技术架构、业务流程、法律合规、伦理规范及战略竞争力。"
SureShield首席技术官Chandrasekhar Bilugu在分析中提到,泄露规模反映出AI初创企业与成熟SaaS或云服务商之间存在显著的开发运维安全代差。"AI团队急于构建原型时,常将含有机密信息的配置文件存留在公共代码库,且多数团队从未对已删除的分支或代码片段进行基础扫描。"他补充道。
Bilugu进一步强调:"企业在GitHub泄露API密钥和令牌的实际风险具有灾难性:攻击者既可挟持专有模型进行恶意竞争,也能窃取客户个人信息实施身份盗用(可能引发数十亿欧元的GDPR罚款),或导致供应链紊乱。在AI领域,训练数据堪称核心资产,单次凭证泄露就足以让攻击者访问数千个私有模型,进而窃取知识产权或篡改模型参数。"
研究结果表明,随着AI应用场景的快速扩展,开发团队与安全负责人亟需加强对开发流程和密钥存储实践的全程监管。
合规与治理
IDC亚太区网络安全服务高级研究经理Sakshi Grover认为,Wiz的调研结果凸显出API密钥泄露如何升级为AI生态系统中的全域安全漏洞。"被盗凭证不仅能操控模型行为、提取训练数据,更会破坏已部署系统的可信基础。"
Grover指出,此类泄露往往与AI开发环境的运作方式密切相关。"AI项目通常在治理相对松散、以实验为导向的环境中推进,其中笔记本文件、预训练模型和代码库频繁共享,导致密钥信息未经扫描或定期轮换。"她解释道。
她援引IDC亚太区安全调研数据称,仅亚太地区就有50%的企业计划在选择云原生应用保护平台供应商时优先考量API安全维度,这反向印证泄露的API已成为主要攻击向量。
Grover表示,随着监管机构持续加强对AI安全和数据保护的审查力度,密钥管理与API治理很可能成为新兴AI合规框架中的关键审计要素。
热门专题
热门推荐
加密货币行业翘首以盼的监管里程碑,终于有了实质性进展。美国证券交易委员会(SEC)主席保罗·阿特金斯(Paul Atkins)近日证实,那份允许加密项目在早期获得注册豁免权的“安全港”框架提案,已经正式送抵白宫,进入了最终审查阶段。 在范德堡大学与区块链协会联合举办的数字资产峰会上,阿特金斯透露了这
微策略Strategy报告:第一季录得144 6亿美元浮亏 再斥资约3 3亿美元买进4871枚比特币 市场震荡的威力有多大?看看Strategy的最新季报就明白了。根据其最新向美国证管会(SEC)提交的8-K报告,受市场剧烈波动影响,这家公司所持的比特币在第一季度录得了一笔惊人的数字——144 6亿
稳定币巨头Tether的动向,向来是加密世界的风向标。这不,它向Web3基础设施的版图扩张,又迈出了关键一步。公司执行长Paolo Ardoino在社交平台X上透露,其工程团队正在全力“烹制”一个新项目——去中心化搜索引擎 “Hypersearch”。这个消息一出,立刻引发了行业的广泛猜想。 采用D
基地位于Coinbase旗下以太坊Layer2网络Base的Seamless Protocol,日前正式宣告了服务的终结。这个曾经吸引了超过20万用户的原生DeFi借贷协议,在运营不到三年后,终究没能跑赢时间。它主打的核心产品是Integrated Leverage Markets(ILMs)——一
PAAL代币揭秘:深度解析Web3社区治理的核心钥匙 在去中心化自治组织的浪潮中,谁真正掌握了项目的话语权?PAAL代币提供了一套系统化的答案。它不仅是生态内流转的价值媒介,更是开启链上治理大门的核心凭证。通过持有并质押PAAL代币,用户能够对协议升级、资金分配乃至战略方向等关键事务投出决定性的一票