Veszélyes hibák: kulcsok és tokenek mindenütt
Az MI-fejlesztők gyakran helyeznek titkos kulcsokat, hozzáférési tokeneket és más érzékeny adatokat a forráskódba, majd feltöltik azokat nyilvános tárhelyekre. Emiatt szervezeti struktúrák, oktatási adatok vagy akár privát MI-modellek is napvilágra kerülhetnek. Ezeket a hibákat főként Jupyter Notebook (.ipynb), Python (.py) és környezeti (.env) fájlokban követték el, különösen a Hugging Face, az Azure OpenAI és a Weights & Biases szolgáltatóktól származó kulcsokkal.
Hugging Face – a privát modellek kapuja
A Hugging Face tokeneinek kiszivárgása különösen kockázatos, mivel ezekkel egyszerűen hozzá lehet férni a cégek privát MI-modelljeihez. Egyetlen ilyen token egy nagy MI-cégnél akár 1000 modellhez is hozzáférést adhat, így a támadók letölthetik vagy lekérdezhetik az értékes fejlesztéseket.
A figyelmetlen fejlesztés ára
A hibák legtöbbször a “vibe coding” (laza, gyors kódolás) eredményei, amikor a titkok véletlenül kerülnek ki a kóddal együtt. A problémát súlyosbítja, hogy a fejlesztők gyorsan dolgoznak a felhőben, miközben kevés az automatizált ellenőrzés, nincsenek egységes felelősségi körök, és hiányos a biztonsági ellenőrzés.
A legkínosabb szivárgások
A Wiz nem nevesíti a legtöbb érintettet, de az ElevenLabs és a LangChain nevét nyilvánosságra hozta. Az ElevenLabs API-kulcsa például egy egyszerű szöveges fájlban bukkant fel. Mindkét vállalat gyorsan reagált a figyelmeztetésre, de az esetek közel fele válasz nélkül maradt, vagy a figyelmeztetést sem sikerült kézbesíteni.
Az MI-forradalom árnyoldala
Az MI-cégek tempós fejlődése egyre újabb lehetőségeket teremt a titkok szivárgására is. Ahogy bővül a GitHub-jelenlétük, szinte garantált, hogy a titkos adatok is könnyen kiszivárognak. Az első lépés a megoldás felé az, ha elismerik, hogy komoly problémájuk van.
