Az MI-cégek sorra kiszivárogtatják titkos API-kulcsaikat

Veszélyes hibák: kulcsok és tokenek mindenütt

Az MI-fejlesztők gyakran helyeznek titkos kulcsokat, hozzáférési tokeneket és más érzékeny adatokat a forráskódba, majd feltöltik azokat nyilvános tárhelyekre. Emiatt szervezeti struktúrák, oktatási adatok vagy akár privát MI-modellek is napvilágra kerülhetnek. Ezeket a hibákat főként Jupyter Notebook (.ipynb), Python (.py) és környezeti (.env) fájlokban követték el, különösen a Hugging Face, az Azure OpenAI és a Weights & Biases szolgáltatóktól származó kulcsokkal.

Hugging Face – a privát modellek kapuja

A Hugging Face tokeneinek kiszivárgása különösen kockázatos, mivel ezekkel egyszerűen hozzá lehet férni a cégek privát MI-modelljeihez. Egyetlen ilyen token egy nagy MI-cégnél akár 1000 modellhez is hozzáférést adhat, így a támadók letölthetik vagy lekérdezhetik az értékes fejlesztéseket.

A figyelmetlen fejlesztés ára

A hibák legtöbbször a “vibe coding” (laza, gyors kódolás) eredményei, amikor a titkok véletlenül kerülnek ki a kóddal együtt. A problémát súlyosbítja, hogy a fejlesztők gyorsan dolgoznak a felhőben, miközben kevés az automatizált ellenőrzés, nincsenek egységes felelősségi körök, és hiányos a biztonsági ellenőrzés.

A legkínosabb szivárgások

A Wiz nem nevesíti a legtöbb érintettet, de az ElevenLabs és a LangChain nevét nyilvánosságra hozta. Az ElevenLabs API-kulcsa például egy egyszerű szöveges fájlban bukkant fel. Mindkét vállalat gyorsan reagált a figyelmeztetésre, de az esetek közel fele válasz nélkül maradt, vagy a figyelmeztetést sem sikerült kézbesíteni.

Az MI-forradalom árnyoldala

Az MI-cégek tempós fejlődése egyre újabb lehetőségeket teremt a titkok szivárgására is. Ahogy bővül a GitHub-jelenlétük, szinte garantált, hogy a titkos adatok is könnyen kiszivárognak. Az első lépés a megoldás felé az, ha elismerik, hogy komoly problémájuk van.

2025, adrienne, go.theregister.com alapján