Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Leaks auf Github: Top-KI-Unternehmen haben ihre Keys nicht im Griff

Forscher haben auf Github allerhand private Schlüssel, Tokens und weitere Anmeldedaten von einem Großteil der Forbes AI 50 entdeckt.
/ Marc Stöckel
1 Kommentare News folgen (öffnet im neuen Fenster)
Viele Entwickler hinterlassen versehentlich Anmeldedaten im Quellcode. (Bild: pexels.com / Markus Spiske)
Viele Entwickler hinterlassen versehentlich Anmeldedaten im Quellcode. Bild: pexels.com / Markus Spiske

Viele große KI-Unternehmen gehen offenbar wenig sorgsam mit ihren privaten Schlüsseln, Tokens und anderen Anmeldeinformationen um. Das zeigt eine Untersuchung der Sicherheitsforscher von Wiz. Wie diese in einem Blogbeitrag(öffnet im neuen Fenster) schildern, haben 65 Prozent der Forbes AI 50(öffnet im neuen Fenster), also fast zwei Drittel der dort gelisteten Top-50-KI-Unternehmen, in irgendeiner Form geheime Daten auf Github geleakt.

Um das zu ermitteln, scannten die Forscher systematisch öffentlich verfügbare Github-Projekte der betroffenen Unternehmen sowie zugehöriger Angestellter. Dabei wurde nicht nur die jeweilige Commit-Historie durchsucht, sondern beispielsweise auch bestehende und gelöschte Forks der erkundeten Repositorys.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)
Cyber Defence Center Lead (m/w/d) Heidelberger Druckmaschinen AG, Wiesloch (öffnet im neuen Fenster)
IT-Fachreferent*in Revision – Strategische Weiterentwicklung der Revision – Digitalisierung & IT Generalverwaltung der Max-Planck-Gesellschaft, München (öffnet im neuen Fenster)
Application Manager (w/m/div.) PKV Verband der Privaten Krankenversicherung e. V., Köln (öffnet im neuen Fenster)
DMS Solution Engineer (m/w/d) WG SYSTEMS e.K., Berlin (öffnet im neuen Fenster)
Leitstandsmanager (w/m/d) Bw Bekleidungsmanagement GmbH, Walsrode (öffnet im neuen Fenster)
Software-Entwickler (m/w/d) Angular / Java Hoffrogge GmbH, Bremen,Oldenburg,Wildeshausen (öffnet im neuen Fenster)
Leitstandsmanager (w/m/d) Bw Bekleidungsmanagement GmbH, Walsrode (öffnet im neuen Fenster)
DMS Solution Engineer (m/w/d) WG SYSTEMS e.K., Berlin (öffnet im neuen Fenster)

Die Ergebnisse der Untersuchung sind geradezu alarmierend. Nur für jedes dritte KI-Unternehmen (35 Prozent) mit einer Github-Präsenz fand Wiz keine Geheimnisse. Von den übrigen 65 Prozent, deren aufsummierte Unternehmenswerte bei über 400 Milliarden US-Dollar liegen sollen, fanden die Forscher API-Keys, Tokens und andere Anmeldedaten.

Viele Betroffene reagieren gar nicht

Die Wiz-Forscher informierten nach eigenen Angaben alle betroffenen Unternehmen über ihre Entdeckungen. Angemessene Reaktionen gab es jedoch nur teilweise. "Viele Unternehmen verfügten über keinen offiziellen Meldeweg, antworteten nicht und/oder behoben das Problem nicht", heißt es im Bericht. Bei fast der Hälfte der betroffenen Organisationen soll dies der Fall gewesen sein, so dass deren Daten offenbar immer noch ungeschützt im Netz liegen.

Die Forscher heben jedoch in ihrem Bericht auch ein paar Positivbeispiele hervor. Schnell reagiert haben sollen demnach beispielsweise Langchain, Elevenlabs und ein weiteres namentlich nicht genanntes Unternehmen. Bei Letzterem war etwa ein Huggingface-Token für den Zugriff auf 1.000 private KI-Modelle geleakt. Von allen drei Unternehmen fand das Forscherteam zudem verschiedene API-Keys.

Die Forscher empfehlen Unternehmen, ihre Github-Repos regelmäßig mit geeigneten Tools auf geleakte Schlüssel, Tokens und andere Zugangsdaten zu scannen und Maßnahmen zu ergreifen, die solchen Leaks vorbeugen. Zudem sollten IT-Verantwortliche darauf achten, dass offizielle Kommunikationskanäle eingerichtet werden, über die Sicherheitsforscher ihre Funde unkompliziert melden können.

Zur Startseite 1 Kommentare

Relevante Themen

KISoftwareSoftwareentwicklungSecuritySicherheitslückeDatensicherheitQuellcodeDatenleck