По мнению экспертов Wiz, разработчики технологий искусственного интеллекта продолжают игнорировать проблемы кибербезопасности и конфиденциальности данных. Последний изучил состояние 50 крупнейших компаний по искусственному интеллекту по версии Forbes и обнаружил, что 65% из них публикуют секретные данные непосредственно на GitHub.
Чтобы обнаружить общедоступные конфиденциальные данные, такие как токены доступа, учетные данные и ключи API, Wiz пришлось обратиться к источникам, которые большинство исследователей и сканеров вряд ли когда-либо найдут. К ним относятся, например, удаленные ветки, репозитории разработчиков и файлы GIST. Глубокое сканирование, позволяющее заглянуть за рамки обычных поисков и выйти за рамки «тайн поверхности», осуществлялось по схеме «глубина, периметр и охват». Аспект «периметр» включает, в частности, анализ хранилищ не только крупнейшей организации, но и ресурсов ее дочерних компаний. Традиционные поисковые инструменты не дают таких результатов.
Примечательно, что попытки уведомить компании об обнаруженных утечках зачастую оказывались безуспешными: почти половина уведомлений либо не доходила до них, либо оставалась без ответа из-за отсутствия официального канала связи для таких целей. Эксперты рекомендуют обратить первоочередное внимание на обнаружение конфиденциальной информации в наборах открытых данных, наличие специального канала получения таких сигналов, а также привлечение поставщиков и разработчиков открытого программного обеспечения. Правильный протокол раскрытия информации, подчеркивают эксперты, может дать компании преимущество в обнаружении уязвимостей и утечек.
