شرکت‌های پیشرو هوش مصنوعی به‌طور ناخواسته پسوردها و کلیدهای دیجیتال خود را در گیت‌هاب افشا کردند – آنچه باید بدانید

0
11
شرکت‌های پیشرو هوش مصنوعی به‌طور ناخواسته پسوردها و کلیدهای دیجیتال خود را در گیت‌هاب افشا کردند – آنچه باید بدانید

بسیاری از شرکت‌های مطرح حوزه هوش مصنوعی مرتکب اشتباهی ساده اما بسیار خطرناک شده‌اند: آن‌ها به‌طور ناخواسته پسوردها و کلیدهای دیجیتال خود را در گیت‌هاب، پلتفرم محبوب اشتراک کد که میلیون‌ها توسعه‌دهنده از آن استفاده می‌کنند، منتشر کرده‌اند.

این مشکل توسط پژوهشگران امنیتی شرکت Wiz شناسایی شد. آن‌ها ۵۰ شرکت برتر هوش مصنوعی را بررسی کردند و دریافتند ۶۵٪ این شرکت‌ها به‌طور سهوی اطلاعات بسیار حساس را به‌صورت عمومی در اینترنت قرار داده‌اند.

چرا این موضوع اهمیت دارد؟

این تنها افشای «پسوردهای معمولی» نیست. داده‌های لیک‌شده شامل کلیدهای API، توکن‌ها و سایر اعتبارنامه‌هایی بود که می‌توانند دسترسی مستقیم به سیستم‌های داخلی، داده‌های آموزشی یا حتی مدل‌های اختصاصی هوش مصنوعی را فراهم کنند.

پژوهشگران تنها مخازن عمومی اصلی شرکت‌ها را بررسی نکرده‌اند، بلکه نسخه‌های حذف‌شده کد (Forkها)، قطعه‌کدها (Gistها)، گزارش‌های Workflow و نسخه‌های قدیمی فایل‌ها را نیز تحلیل کرده‌اند. در نتیجه مشخص شده که بسیاری از این شرکت‌ها ناخواسته اطلاعاتی را افشا کرده‌اند که باید محرمانه باقی می‌ماند و حتی ساده‌ترین اقدامات امنیتی نادیده گرفته شده است.

در برخی موارد، کلیدها و توکن‌های افشاشده کاملاً قابل استفاده بودند و امکان دسترسی واقعی به سامانه‌های شرکت را فراهم می‌کردند—از جمله پلتفرم‌هایی مانند Hugging Face، LangChain و ElevenLabs.

طبق گزارش Wiz، در نزدیک به نیمی از موارد، زمانی که پژوهشگران تلاش کردند شرکت‌های آسیب‌دیده را مطلع کنند، هیچ پاسخی دریافت نشد و مشکل همچنان پابرجا باقی ماند.

وضعیت چقدر بحرانی است؟

ارزش مجموع شرکت‌های بررسی‌شده بیش از ۴۰۰ میلیارد دلار است و نام‌های بزرگی مانند Anthropic، Glean و Crusoe Energy نیز در میان آن‌ها قرار دارند.

چگونه چنین اتفاقی رخ می‌دهد؟

منشأ مشکل، مانند بسیاری از رخدادهای امنیت سایبری، خطای انسانی است. برنامه‌نویسان هنگام توسعه کد، گاهی گذرواژه یا کلیدها را برای اجرای صحیح برنامه در کد قرار می‌دهند. مشکل زمانی آغاز می‌شود که پیش از انتشار عمومی کد، آن‌ها فراموش می‌کنند این اطلاعات را حذف کنند.

مسأله پیچیده‌تر می‌شود زیرا «secrets» همیشه به‌راحتی قابل مشاهده نیستند. این داده‌ها ممکن است در فایل‌های حذف‌شده (که واقعاً حذف نشده‌اند)، حساب‌های شخصی کارکنان، نسخه‌های قدیمی کدهای فراموش‌شده، توضیحات پنهان و مستندات مختلف باقی مانده باشند. همچنین، همان‌طور که پژوهشگران اشاره کرده‌اند، بسیاری از استارتاپ‌های حوزه هوش مصنوعی سازوکار مناسبی برای دریافت گزارش‌های امنیتی ندارند.

این موضوع چه تأثیری بر ما دارد؟ مایی که در شرکت هوش مصنوعی کار نمی‌کنیم

متأسفانه، همین شرکت‌های فعال در حوزه هوش مصنوعی در حال توسعه فناوری‌هایی هستند که هر روز بیشتر در زندگی شخصی و کاری ما ادغام می‌شود: چت‌بات‌ها، سامانه‌های پیشنهاددهنده، ابزارهای تصمیم‌یار و بسیاری سرویس‌های کلیدی که کسب‌وکارها به آن‌ها وابسته‌اند.

اگر مهاجمان به سیستم‌های این شرکت‌ها دسترسی پیدا کنند، می‌توانند:

  • مدل‌های اختصاصی و داده‌های آموزشی را سرقت کنند

  • ارتباطات داخلی شرکت را استخراج کنند

  • سامانه‌های هوش مصنوعی که به آن‌ها تکیه داریم را دستکاری کنند

  • به اطلاعات حساس درباره نحوه عملکرد مدل‌ها دست یابند

چه باید کرد؟

شرکت‌های فعال در حوزه AI باید:

  • از ابزارهای خودکار برای اسکن و شناسایی گذرواژه‌ها و اعتبارنامه‌های افشاشده پیش از انتشار کد استفاده کنند

  • توسعه‌دهندگان را آموزش دهند که هرگز از گذرواژه‌های واقعی در کد استفاده نکنند

  • کانال‌های مشخص و کارآمدی برای گزارش آسیب‌پذیری‌ها توسط پژوهشگران امنیتی ایجاد کنند

این که شرکت‌های سازنده پیشرفته‌ترین سیستم‌های هوش مصنوعی، چنین اشتباهات ابتدایی امنیتی مرتکب می‌شوند یک طنز تلخ است.

منبع: https://www.fortra.com/blog/ai-companies-accidentally-leak-passwords-digital-keys-github

مقاله قبلیجریمه ۲۰۰ هزار پوندی برای ارسال‌ کننده پیغام‌های اسپم به افراد بدهکار
مقاله بعدیحملهٔ CometJacking مرورگر Comet را فریب می‌دهد تا ایمیل‌ها را به سرقت برد

مقالات مرتبطمطالب پر بازدید

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

This site uses Akismet to reduce spam. Learn how your comment data is processed.