Yeni bir güvenlik araştırması, önde gelen AI şirketlerinin %65’inin GitHub’da doğrulanmış sırları sızdırdığını, API anahtarlarını, token’ları ve operasyonlarını ve fikri mülkiyet haklarını tehlikeye atabilecek hassas kimlik bilgilerini açığa çıkardığını ortaya koyuyor.
Forbes AI 50 listesindeki 50 önde gelen AI şirketini inceleyen wiz araştırması, sektördeki yaygın güvenlik açıklarını ortaya çıkardı.
Sızan bu sırlar, standart GitHub tarama araçlarının rutin olarak gözden kaçırdığı bir saldırı yüzeyini temsil eden, silinmiş çatallarda, özetlerde ve geliştirici depolarında keşfedildi.
Bunu Farklı Kılan Nedir?
Yüzey düzeyindeki GitHub organizasyon aramalarına dayanan emtia gizli tarama araçlarının aksine. Wiz araştırmacıları derinlik, çevre ve kapsamayı hedefleyen üç yönlü bir metodoloji kullandı.
“Derinlik” yaklaşımı, güvenlik buzdağının batık kısmı olan tam taahhüt geçmişlerini, silinen çatalları, iş akışı günlüklerini ve özetleri inceledi.
“Çevre” boyutu, keşfi, kuruluş üyelerinin kazara kişisel depolarına aktardıkları sırları içerecek şekilde genişletti.
Bu arada “Kapsama”, Perplexity, Weights & Biases, Groq ve NVIDIA gibi platformlarda ortaya çıkan yapay zekaya özgü gizli türlerin tespitindeki boşlukları ele aldı.
En etkili sızıntılar arasında, düz metin yapılandırma dosyalarında keşfedilen, ElevenLabs’tan kuruluş düzeyinde erişim ve kurumsal düzeyde kimlik bilgileri sağlayan Langsmith API anahtarları vardı.
İsimsiz bir AI50 şirketinin ifşası, yaklaşık 1.000 özel modele erişim sağlayan bir Hugging Face jetonunun yanı sıra özel eğitim verilerini tehlikeye atan birden fazla Ağırlık ve Önyargı anahtarını içeriyordu.
Sorunlu bir şekilde, açığa çıkan şirketlerin %65’inin toplam değeri 400 milyar doların üzerindeydi. Ancak daha küçük kuruluşların da aynı derecede savunmasız olduğu ortaya çıktı; minimum düzeyde kamuya açık depoya sahip olanlar bile maruz kalma riskleri sergiledi.
Wiz uzmanları yapay zeka şirketlerinin acilen harekete geçmesi gerektiğini vurguluyor. Herkese açık sürüm kontrol sistemleri için zorunlu gizli taramanın uygulanması çok önemlidir ve göz ardı edilemez.
Başlangıçtan itibaren uygun açıklama kanallarının oluşturulması, güvenlik açıklarının giderilmesi sırasında şirketleri korur. Ek olarak, yapay zeka hizmet sağlayıcılarının özel gizli formatlar için özel algılama geliştirmesi gerekiyor; zira birçoğu, yetersiz tarama nedeniyle dağıtım sırasında kendi platform kimlik bilgilerini sızdırıyor.
Wiz araştırması kritik bir mesajın altını çiziyor: kurumsal üyeler ve katkıda bulunanlar, katılım sırasında güvenlik politikaları gerektiren genişletilmiş saldırı yüzeylerini temsil ediyor.
Yapay zekanın benimsenmesi hızlandıkça, çalışanların kişisel depolarını kurumsal altyapının bir parçası olarak ele almak zorunlu hale geliyor. Hızla ilerlemekte olan bir sektörde mesaj açıktır: hız, güvenliği tehlikeye atamaz.
Kapsamlı gizli tespit, kurumsal savunma standartlarını yükseltmek için yeni ortaya çıkan yapay zeka teknolojileriyle birlikte gelişmelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
