Эксперты Wiz обнаружили утечки секретов у большинства ИИ-компаний

Новое исследование показало, что почти две трети ведущих частных компаний в сфере ИИ сливали конфиденциальную информацию на GitHub. Аналитики Wiz изучили участников списка Forbes AI 50 и подтвердили, что 65% из них раскрыло подтверждённые секретные данные, такие как API-ключи, токены и учётные записи. Совокупная стоимость пострадавших организаций оценивается более чем в 400 млрд долларов.

Опубликованный на днях документ содержит сведения о том, что стремительные инновации в области искусственного интеллекта опережают базовые методы кибербезопасности. Даже компании с минимальным количеством публичных репозиториев обнаружили утечки информации.

Чтобы выявить эти уязвимости, фреймворк Wiz Depth, Perimeter and Coverage углублённо анализировал историю коммитов, удалённые форки, гистограммы и даже личные репозитории участников. Этот подход помог раскрыть секреты, скрытые в малоизвестных или удалённых частях кодовых баз, которые стандартные сканеры часто пропускают.

Среди наиболее часто утекающих учётных данных были ключи API от Weights & Biases, ElevenLabs и Hugging Face. Некоторые из них могли предоставлять доступ к закрытым данным обучения или организационной информации — критически важным ресурсам для разработки ИИ.

Хотя некоторые компании, включая LangChain и ElevenLabs, оперативно приняли меры по устранению слабых мест, ситуация с раскрытием информации в целом остаётся неравномерной. Почти половина всех сообщений об уязвимостях либо осталась без ответа, либо не достигла своих целей. Во многих организациях отсутствовал официальный процесс получения и реагирования на такие сообщения, что указывает на значительный пробел в корпоративной безопасности.

Чтобы противостоять этим угрозам, исследователи призывали ИИ-стартапы внедрить обязательное сканирование секретных данных во всех публичных репозиториях, создать чёткие каналы раскрытия информации для внешних специалистов и разработать собственные сканеры для своих уникальных типов секретов. «Скорость не должна идти в ущерб безопасности. Командам, создающим будущее ИИ, необходимо действовать сообща», — заявили в Wiz.

 

Усам Оздемиров

14 ноября, 2025

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

08.07.2026
Минцифры представило «Госкан» — «МЧД-картотеку»
08.07.2026
В iOS 27 добавили антифрод-прослойку
08.07.2026
Британия запустила программу обеспечения киберустойчивости
08.07.2026
Zscaler видит в ИИ-агентах «обоюдоострый меч»
08.07.2026
Обнаружен первый полностью агентный вирус-вымогатель
07.07.2026
Apple ускоряет выпуск ИБ-обновлений в ответ на ИИ-риски
07.07.2026
«Значимые действия» всё же будут подтверждать через MAX?
07.07.2026
ЛК: Почти треть глобального промсектора пострадала от ИИ-атак
07.07.2026
Касперская и Ашманов — о «крахе отечественной отрасли ИИ»
07.07.2026
Штраф до 1,4 млн рублей — за авторизацию через иностранные сервисы

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных