- Para peneliti menemukan 65% dari 50 perusahaan AI teratas versi Forbes membocorkan rahasia
- Ini datang dalam bentuk token, kunci API, dan kredensial sensitif
- Wiz menggunakan pendekatan “kedalaman, perimeter, dan cakupan” untuk menemukan kebocoran
Perusahaan AI memiliki sejarah yang luar biasa dalam keamanan siber dan privasi data, dan penelitian baru dari Wiz menunjukkan bahwa hal tersebut masih belum membaik.
Melihat 50 perusahaan AI terkemuka versi Forbes sebagai tolok ukur, para ahli menemukan hampir dua pertiga (65%) dari perusahaan AI terkemuka ini membocorkan rahasia tersertifikasi ke GitHub.
Token, kredensial sensitif, dan kunci API ini ditemukan terletak jauh di tempat yang tidak akan pernah ditemukan oleh sebagian besar peneliti dan pemindai, seperti fork yang dihapus, repositori pengembang, dan petunjuk.
tidak ada jawaban
Wiz mengatakan mereka menggunakan kerangka kerja ‘kedalaman, cakupan, dan cakupan’ untuk mengakses repositori GitHub ini, memungkinkan mereka mengakses dan menjelajahi sumber-sumber baru, melampaui ‘rahasia di permukaan’ untuk pemindaian lebih dalam yang mengungkap lebih dari sekadar penelusuran tradisional.
Aspek ‘perimeter’ dari pencarian mereka melibatkan perluasan pencarian ke kontributor dan anggota organisasi, yang mungkin sering ‘tanpa disadari menyelidiki rahasia terkait perusahaan dalam repositori dan ringkasan publik mereka.’
Cakupan berkaitan dengan spesies samar baru yang sering terlewatkan oleh pemindai tradisional, seperti Tevili, Langchen, Cohere, atau Pinecone.
Menariknya, ketika peneliti mengungkapkan kebocoran ini kepada target, hampir setengah dari notifikasi tersebut gagal menjangkau mereka, tidak terjawab karena kurangnya saluran notifikasi resmi, atau perusahaan gagal merespons atau menyelesaikan masalah tersebut.
Para peneliti merekomendasikan untuk segera menerapkan pemindaian laten sebagai pertahanan yang tidak dapat dinegosiasikan – berapa pun ukuran organisasi Anda.
Mereka juga merekomendasikan untuk memprioritaskan penelitian pada spesies samar mereka; Banyak toko membocorkan kunci API mereka sendiri “saat memakan dogfood mereka”. Jika format rahasia Anda baru, libatkan vendor dan komunitas sumber terbuka secara aktif untuk menambahkan dukungan.’
Terakhir, mereka merekomendasikan agar perusahaan menciptakan saluran khusus untuk pengungkapan informasi. Protokol pengungkapan adalah langkah keamanan penting yang dapat memberi perusahaan Anda keunggulan dalam menghadapi kerentanan atau kebocoran apa pun, sehingga saluran ini dapat menjadi sumber berbagi informasi yang penting.
Ikuti TechRadar di Google Berita Dan Tambahkan kami sebagai sumber daya pilihan Untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok Dapatkan berita, review, unboxing dalam bentuk video, dan update rutin dari kami Ada apa Juga
Perlindungan pencurian ID terbaik untuk semua anggaran
