- Araştırmacılar, Forbes’un en büyük 50 yapay zeka şirketinin %65’inin sır sızdırdığını tespit etti
- Bunlar belirteçler, API anahtarları ve hassas kimlik bilgileri biçiminde gelir
- Wiz, sızıntıları tespit etmek için ”Derinlik, Çevre ve Kapsama” yaklaşımını kullandı
Yapay zeka şirketlerinin siber güvenlik ve veri gizliliği konusunda oldukça zorlu bir geçmişi var. Wiz’den araştırma bunun hala düzelmediğini gösteriyor.
Forbes’un önde gelen 50 yapay zeka şirketini bir kıyaslama olarak inceleyen uzmanlar, bu en iyi yapay zeka şirketlerinin neredeyse üçte ikisinin (%65) GitHub’da doğrulanmış sırları sızdırdığını ortaya çıkardı.
Bu belirteçler, hassas kimlik bilgileri ve API anahtarları, silinmiş çatallar, geliştirici depoları ve özetler gibi çoğu araştırmacının ve tarayıcının asla karşılaşmayacağı yerlerin derinliklerinde gömülü olarak bulundu.
Cevap yok
Wiz, bu GitHub depolarına yaklaşmak için bir ‘Derinlik, Çevre ve Kapsama’ çerçevesi kullandığını, onların yeni kaynaklara erişmesine ve bu kaynakları aramasına, geleneksel aramalardan daha fazlasını ortaya çıkaran derin bir tarama için ‘yüzeydeki sırların’ ötesine gitmesine olanak sağladığını söylüyor.
Araştırmalarının ‘Çevre’ yönü, çoğunlukla ‘şirketle ilgili sırları yanlışlıkla kendi kamu depolarında ve özetlerinde kontrol edebilen’ katkıda bulunanlar ve kuruluş üyeleri için keşiflerin genişletilmesini gerektiriyordu.
Kapsam, Tavily, Langchain, Cohere veya Pinecone gibi geleneksel tarayıcıların sıklıkla gözden kaçırdığı yeni gizli türlerle ilgilidir.
İlginçtir ki, araştırmacılar bu sızıntıları hedeflere açıkladığında, bu bildirimlerin neredeyse yarısı ya onlara ulaşmadı, resmi bildirim kanalının olmaması nedeniyle yanıt alınamadı ya da şirket yanıt vermedi veya sorunu çözemedi.
Araştırmacılar, organizasyonunuzun büyüklüğü ne olursa olsun, müzakere edilemez bir savunma olarak gizli taramanın derhal devreye alınmasını öneriyor.
Ayrıca kendi gizli türleri için tespite öncelik verilmesini de tavsiye ediyorlar; ‘ Çok fazla mağaza “test sürümünü yerken” kendi API anahtarlarını sızdırıyor. Gizli biçiminiz yeniyse, destek eklemek için satıcılarla ve açık kaynak topluluğuyla proaktif olarak iletişime geçin.’
Son olarak şirketlerin açıklamalar için özel bir kanal hazırlamasını tavsiye ediyorlar. Açıklama protokolü, şirketinize herhangi bir güvenlik açığı veya sızıntı konusunda bir avantaj sağlayabilecek önemli bir güvenlik önlemidir; dolayısıyla bu kanallar hayati bir bilgi paylaşım kaynağı olabilir.
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.
Tüm bütçeler için en iyi kimlik hırsızlığı koruması