AI巨頭GitHub大洩密：4千億機密曝光危機！

AI巨頭公司喺GitHub意外洩露敏感資料，安全漏洞引發業界警惕

根據安全研究公司Wiz嘅調查，全球估值超過4000億美元嘅頂尖人工智能企業，竟然喺GitHub上不經意地公開咗佢哋嘅最敏感數碼秘密，相當於將大門敞開任人進入。呢啲洩露嘅資料包括API密鑰、認證令牌同憑證，可能令黑客得以入侵私有模型、訓練數據同內部系統。

Wiz嘅研究指出，呢啲機密信息大多藏喺刪除嘅代碼庫同開發者嘅分支中，呢啲地方通常唔會被安全掃描工具覆蓋，凸顯出人工智能熱潮背後嘅一個長期盲點。

黑客嘅黃金寶庫

洩露嘅資料就好似黑客嘅購物清單咁。當中最具破壞性嘅包括Langsmith嘅API密鑰，令持有人可以獲得組織層面嘅存取權限；仲有企業級ElevenLabs賬戶憑證以純文本形式出現。另外，某匿名AI公司嘅Hugging Face令牌，竟然可以存取約1000個私有AI模型，連Weights and Biases嘅多個密鑰都暴露咗，令專有訓練數據集面臨風險。

更驚人嘅係，有間規模細到只有14人、冇公開代碼庫嘅公司，仍然洩露咗敏感憑證；而最大嘅無洩露秘密嘅公司，擁有60個公開代碼庫同28名組織成員。換句話講，公司規模同GitHub嘅公開度都唔係判斷安全成熟度嘅可靠指標，投資者同客戶喺盡職調查時必須留意。

呢啲洩露嘅憑證唔係紙上談兵，佢哋可能揭示組織結構、訓練數據同私有AI模型，令競爭對手有機可乘，進行商業破壞、知識產權盜竊甚至供應鏈攻擊，影響所有以AI為基礎嘅業務。

AI公司忽視基本安全嘅根本原因

根本原因係速度同安全之間嘅矛盾，喺急速開發嘅壓力下，安全經常被犧牲。呢種情況導致雲端配置錯誤、秘密管理不足同工具缺陷。

AI團隊通常採用快速原型設計同先分享後修正嘅模式，經常喺公共代碼庫中存放秘密，甚至連刪除嘅分支或開發筆記本都冇基本嘅安全掃描。

此外，合作模式亦加劇風險。項目喺鬆散管理、實驗驅動嘅環境中運作，經常共享筆記本、模型同代碼庫，安全規範喺快速迭代嘅壓力下往往形同虛設。

最令人擔憂係溝通失效。Wiz發現，近一半嘅安全披露嘗試未能成功通知相關方或冇得到回應，顯示好多組織缺乏明確嘅事件響應渠道，令洩露嘅秘密長時間處於可被利用嘅狀態。

令首席資訊安全官（CISO）夜不能寐嘅風險

呢啲洩露唔係一般嘅安全事件，會同時影響技術、業務、法律、倫理同競爭策略等多個層面。

訓練數據係AI嘅珍貴資產，一個洩露令牌就可能令黑客存取數千個私有模型，從而盜取知識產權或進行模型污染攻擊。呢啲係傳統軟件從未面對過嘅威脅，一旦訓練流程被破壞，整條產品線嘅信任度都會大打折扣。

更大嘅背景係，GitHub喺2024年報告嘅洩露秘密超過3900萬條，較前一年增長67%，而2022年洩露嘅70%秘密至今仍然有效。舊嘅密鑰唔會自行失效，係攻擊者可以隨時引爆嘅定時炸彈。

AI安全嘅未來方向

呢啲發現係對一個過度追求速度而忽略安全嘅行業嘅警鐘。隨著AI應用加速，開發者同CISO必須加強對開發流程同秘密存儲嘅監控。

曝光範圍凸顯咗AI初創企業同成熟科技公司之間嘅DevSecOps差距，隨住呢啲公司處理越來越多敏感數據同將模型部署到關鍵基礎設施，呢個差距變得更加危險。

建議企業實施公共代碼庫嘅強制秘密掃描，建立完善嘅披露渠道，並考慮針對AI相關憑證嘅專門檢測。不過，依家唔係細微調整嘅時候，而係要轉變思維，重新定義AI團隊喺協作原型開發過程中如何構建、分享同保護代碼。

—

編輯評論：

呢篇報道揭示咗一個深層次嘅矛盾：人工智能行業喺競爭激烈嘅環境下，急於推出創新產品同服務，卻往往忽略咗基礎安全措施，尤其係秘密管理嘅嚴重不足。GitHub作為開發者嘅核心協作平台，理應成為安全防線嘅第一道屏障，但現實係大量敏感資料喺公眾視野下暴露，等同於自家大門敞開，為黑客提供咗絕佳嘅入侵機會。

更令人擔心嘅係，安全披露嘅溝通失效反映出企業內部安全文化同應急機制嘅缺失。面對AI模型同訓練數據嘅價值日益提高，任何洩露都可能引發連鎖反應，從技術信任危機演變成法律糾紛、品牌損害甚至市場份額流失。

投資者以及用戶應該將企業嘅安全成熟度納入評估標準，而唔只係睇規模或開源活動。對企業嚟講，建立全面嘅DevSecOps體系，強化協作環境中嘅安全流程，並且培養安全意識同責任感，係未來贏得市場信任嘅關鍵。

最後，呢個議題提醒我哋，創新與安全並非對立面，而係必須並行嘅兩條腿。AI行業若想持續健康發展，必須正視安全漏洞，從根本改變開發文化，將「安全優先」融入每一個環節，先能真正守護住技術進步嘅成果同用戶嘅利益。

以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。