Разработчики технологий искусственного интеллекта продолжают пренебрегать соображениями кибербезопасности и конфиденциальности данных, утверждают эксперты компании Wiz. Они изучили положение дел в 50 ведущих компаниях в области ИИ по версии Forbes и обнаружили, что 65 % из них публикуют закрытые данные прямо на GitHub.

Ведущие разработчики ИИ продолжают публиковать секретные данные на GitHub

Обзор умных часов HUAWEI WATCH 5: часы юбилейные

Ведущие разработчики ИИ продолжают публиковать секретные данные на GitHub

Фитнес-браслет HUAWEI Band 10: настоящий металл

Ведущие разработчики ИИ продолжают публиковать секретные данные на GitHub

Почему ИИ никак не сесть на безматричную диету

Ведущие разработчики ИИ продолжают публиковать секретные данные на GitHub

Hollow Knight: Silksong — песнь страданий и радостей. Рецензия

Ведущие разработчики ИИ продолжают публиковать секретные данные на GitHub

Пять причин полюбить HONOR Pad V9

Ведущие разработчики ИИ продолжают публиковать секретные данные на GitHub

Пять причин полюбить HONOR X8c

Ведущие разработчики ИИ продолжают публиковать секретные данные на GitHub

HUAWEI FreeArc: вероятно, самые удобные TWS-наушники

Ведущие разработчики ИИ продолжают публиковать секретные данные на GitHub

Пять причин полюбить HONOR Magic7 Pro

Ведущие разработчики ИИ продолжают публиковать секретные данные на GitHub

Чтобы обнаружить общедоступные конфиденциальные данные, такие как токены доступа, учётные данные и ключи API, специалистам Wiz пришлось обратиться к источникам, которые большинство исследователей и сканеров едва ли когда-либо обнаружат. Это были, например, удалённые форки, репозитории разработчиков и файлы GIST. Глубокое сканирование, которое позволяет заглянуть дальше обычных поисковых запросов и выйти за рамки «секретов на поверхности», осуществлялось с помощью схемы «глубина, периметр и покрытие». Аспект «периметра», в частности, предполагает анализ репозиториев не только самой крупной организации, но и ресурсов связанных с ней лиц. Традиционные средства поиска таких результатов не дают.

Примечательно, что попытки сообщить компаниям о выявленных утечках зачастую не давали результатов: почти половина уведомлений либо не доходила до них, либо оставалась без ответа за отсутствием официального канала связи для таких целей. Иногда компания просто не отвечала и не решала проблему. Эксперты же рекомендуют уделять первоочередное внимание обнаружению конфиденциальной информации в массивах открытых данных, иметь особый канал для получения таких сигналов, а также привлекать поставщиков и разработчиков открытого ПО. Надлежащий протокол раскрытия информации, подчёркивают специалисты, может дать компании преимущество в выявлении уязвимостей и утечек.