Alarmerande ai-läckor i öppna kodförråd

Wiz Research har under en månad analyserat offentliga kodförråd för att undersöka hur organisationer hanterar säkerhet i AI-projekt.

Undersökningen konstaterade att 20 procent av de granskade organisationerna hade åtminstone en exponerad hemlighet som klassificerats som känslig eller konfidentiell.

Fyra av de fem mest frekventa hemligheterna var direkt kopplade till AI-verktyg eller infrastrukturer, vilket visar en oroande obalans.

Tre huvudsakliga mönster framträdde vid exponerade AI-hemligheter i offentliga repos:

Python-notebooks innehåller ofta både kod, utdata och dokumentation, vilket gör dem extra sårbara vid oavsiktlig publicering.

Konfigurationsfiler som mcp. och .env visade hårdkodade autentiseringsuppgifter när AI-assistenter användes utan adekvata rutiner.

Nya AI-nyckelformat från framväxande leverantörer upptäcks inte av befintliga secret scanners, vilket leder till växande säkerhetsluckor.

Analysen identifierade legitima hemligheter hos 30 olika företag och startups, inklusive flera av Fortune 100.

Cirka en tredjedel av de läckta uppgifterna fanns i personliga projekt, medan resten fördelades mellan företagsrepositories, open source och akademiska initiativ.

Upp till 40 procent av läckorna kunde påverka affärskritiska system. En kritisk incident riskerade att exponera känslig HR-data.

Mer än hälften av företagsrelevanta hemligheter fanns i anställdas personliga repositories, vilket understryker faran med indirekt exponering.

Kinesiska AI-plattformar framstår som en stor blind fläck eftersom de ofta inte täcks av västerländska scanners, trots omfattande användning på GitHub.

Fullständig rapport finns från Wiz Research för den som vill fördjupa sig i underlaget.

Denna analys understryker vikten av robusta säkerhetsriktlinjer.

”Dessa resultat belyser det brådskande behovet av ett bättre säkerhetsnät när AI blir ett vardagsverktyg för utvecklare. Samtidigt som det snabba innovationstempot är spännande att följa så är det tydligt att säkerhet som utgångspunkt måste bli normen – inte undantaget,”, Rami McCarthy
han säger.

Förhoppningen är att granskningen initierar proaktiva samtal mellan säkerhets- och utvecklingsteam och driver fram smartare verktyg och rutiner.