摘要：这家云安全公司在其秘密研究中采取不同的方法，并进行了更深入的扫描，目标是完整的提交历史记录、分支上的提交历史记录、已删除的分支、工作流日志和 gist。

云安全巨头 Wiz 分析了与全球最大人工智能公司相关的 GitHub 代码库，发现其中许多代码库泄露了经过验证的机密信息，这些信息可能会暴露敏感信息。

泄露的机密信息通常由 GitHub 自身的扫描器、仓库所有者进行的扫描以及第三方出于营销目的进行的自动扫描发现。

这家云安全公司在其秘密研究中采取不同的方法，并进行了更深入的扫描，目标是完整的提交历史记录、分支上的提交历史记录、已删除的分支、工作流日志和 gist。

Wiz的扫描范围还包括核心组织的成员和贡献者，他们可能会无意中在自己的公共存储库中泄露公司机密。此外，扫描还针对一些不太常见的AI相关机密，这些机密可能会被传统扫描器遗漏。

Wiz 的分析重点关注福布斯 AI 50强榜单中的人工智能公司，结果显示，在 GitHub 上有记录的公司中，65% 都曾发生过机密泄露事件。Wiz 指出：“经证实发生机密泄露事件的公司总估值超过 4000 亿美元。”

泄露的密钥类型包括 API 密钥、令牌和凭证，其中包括与 Google API、Weights & Biases、Flickr、Infura、ElevenLabs 和 Hugging Face 相关的密钥、令牌和凭证。

泄露的部分机密信息可能涉及私有模型、训练数据和组织结构。

受影响的人工智能公司均已收到通知。ElevenLabs 和 Langchain 等公司因其快速响应而受到赞扬。然而，Wiz 表示，其披露的信息中近一半未能送达供应商或未收到任何回复。

Wiz表示：“许多公司缺乏官方披露渠道，未能作出回应，和/或未能解决问题。”

这家安全公司还重点介绍了一些有趣的发现。一家没有任何公开代码库、且组织成员只有十几人的公司，竟然泄露了机密信息。而另一家拥有 60 个公开代码库、组织成员 28 人的公司，却没有发生任何机密泄露事件。Wiz 认为，这表明该公司拥有有效的机密管理体系。

Wiz 建议人工智能公司（这些建议也适用于其他类型的组织）通过强制执行公开的 VCS 秘密扫描、建立披露渠道以便第三方更容易报告秘密泄露以及优先检测专有秘密类型来防止秘密扩散。

泄露报告：《65%的领先人工智能公司被发现存在已证实的机密泄露事件》

来源：会杀毒的单反狗