Alarmerande resultat om AI-leakage i offentliga kodförråd

En ny studie från Wiz Research avslöjar oroande trender inom AI-driven mjukvaruutveckling och hur hundratals hemligheter, inklusive sådana från flera Fortune 100-företag, har exponerats i offentliga kodförråd.

Enligt Wiz Researchs senaste undersökning upptäcktes hemlighetsstämplad information hos 20 procent av de granskade organisationerna. Studien, som genomfördes under en månad, analyserade offentliga kodförråd för att förstå hur organisationer hanterar säkerhet i den snabbt föränderliga AI-miljön.

Resultaten visar att AI-relaterade hemligheter utgjorde en stor del av fynden; fyra av de fem mest förekommande hemligheterna var relaterade till AI.

Studien identifierade tre huvudsakliga områden där AI-relaterade läckor förekommer:

För det första, Python-notebooks (.ipynb-filer) uppvisade en hög frekvens av exponerade hemligheter. Dessa filer innehåller en blandning av kod, utdata och beskrivningar, vilket gör dem känsliga vid oavsiktlig publicering.

För det andra, konfigurationsfiler för AI-agenter, såsom mcp. och .env, avslöjade ofta hårdkodade autentiseringsuppgifter. Utvecklare använder ofta AI-baserade kodassistenter utan tillräcklig kunskap om bästa praxis för hantering av känslig information.

För det tredje, nya hemligheter från framväxande AI-leverantörer blir allt vanligare, men verktyg för att upptäcka dessa hemligheter har inte hållit jämna steg, vilket skapar säkerhetsluckor.

Wiz Research-teamet kunde identifiera legitima hemligheter från 30 olika företag och startups, inklusive flera Fortune 100-företag. En tredjedel av hemligheterna tillhörde personliga projekt, medan resten fördelades mellan företag och öppen källkod.

Upp till 40 procent av de läckta hemligheterna riskerar att direkt påverka företag. Ett kritiskt exempel involverade känslig HR-data som kunde ha blivit exponerad. Dessutom hittades 56 procent av de företagspåverkade hemligheterna i personliga repositories, vilket visar på risken med så kallad indirekt exponering.

Kinas AI-plattformar, trots deras popularitet, förbises ofta av västerländska säkerhetsverktyg. GitHub-användare använder dessa plattformar, vilket resulterar i att autentiseringsuppgifter läcker utan att upptäckas.

Rami McCarthy, Principal Security Researcher hos Wiz, säger,

”Dessa resultat belyser det brådskande behovet av ett bättre säkerhetsnät när AI blir ett vardagsverktyg för utvecklare. Samtidigt som det snabba innovationstempot är spännande att följa så är det tydligt att säkerhet som utgångspunkt måste bli normen – inte undantaget.”

Förhoppningen är att denna granskning uppmuntrar till proaktiva diskussioner mellan säkerhets- och ingenjörsteam, vilket kan driva på användningen av bättre verktyg och metoder för att förhindra denna typ av exponering.