గ్లోబల్ AI రేసు మధ్య భద్రతా లోపాలు బయటపడుతున్నాయి

ప్రకారం విజ్AI కంపెనీల మధ్య రేసు అనేక మంది ప్రాథమిక భద్రతా పరిశుభ్రత పద్ధతులను విస్మరించేలా చేస్తోంది.

సైబర్‌ సెక్యూరిటీ సంస్థ విశ్లేషించిన 50 ప్రముఖ AI సంస్థల్లో 65 శాతం GitHubలో ధృవీకరించబడిన రహస్యాలను లీక్ చేశాయి. ఎక్స్‌పోజర్‌లలో API కీలు, టోకెన్‌లు మరియు సున్నితమైన ఆధారాలు ఉన్నాయి, వీటిని తరచుగా ప్రామాణిక భద్రతా సాధనాలు తనిఖీ చేయని కోడ్ రిపోజిటరీలలో పాతిపెట్టబడతాయి.

గ్లిన్ మోర్గాన్, UK&I కోసం కంట్రీ మేనేజర్ ఉప్పు భద్రతఈ ధోరణిని నివారించదగిన మరియు ప్రాథమిక లోపంగా అభివర్ణించారు. “AI సంస్థలు అనుకోకుండా వారి API కీలను బహిర్గతం చేసినప్పుడు, వారు తప్పించుకోదగిన భద్రతా వైఫల్యాన్ని బహిర్గతం చేస్తారు,” అని అతను చెప్పాడు.

“ఇది భద్రతా కాన్ఫిగరేషన్‌తో జత చేయబడిన పాలన యొక్క పాఠ్యపుస్తక ఉదాహరణ, OWASP ఫ్లాగ్ చేసే ప్రమాద వర్గాలలో రెండు. ఆధారాలను కోడ్ రిపోజిటరీలలోకి నెట్టడం ద్వారా వారు దాడి చేసేవారికి సిస్టమ్‌లు, డేటా మరియు మోడల్‌లకు గోల్డెన్ టిక్కెట్‌ను అందజేస్తారు, సాధారణ రక్షణ పొరలను ప్రభావవంతంగా పక్కదారి పట్టించారు.”

Wiz యొక్క నివేదిక పెరుగుతున్న సంక్లిష్ట సరఫరా గొలుసు భద్రతా ప్రమాదాన్ని హైలైట్ చేస్తుంది. సమస్య అంతర్గత అభివృద్ధి బృందాలకు మించి విస్తరించింది; ఎంటర్‌ప్రైజెస్ AI స్టార్టప్‌లతో ఎక్కువగా భాగస్వాములు కావడంతో, వారు తమ భద్రతా భంగిమను వారసత్వంగా పొందవచ్చు. పరిశోధకులు వారు కనుగొన్న కొన్ని లీక్‌లు “సంస్థ నిర్మాణాలు, శిక్షణ డేటా లేదా ప్రైవేట్ నమూనాలను కూడా బహిర్గతం చేసి ఉండవచ్చు” అని హెచ్చరిస్తున్నారు.

ఆర్థిక వాటాలు గణనీయంగా ఉన్నాయి. ధృవీకరించబడిన లీక్‌లతో విశ్లేషించబడిన కంపెనీలు సంయుక్తంగా $400 బిలియన్ల విలువను కలిగి ఉన్నాయి.

ఫోర్బ్స్ AI 50లో జాబితా చేయబడిన కంపెనీలపై దృష్టి సారించిన నివేదిక, ప్రమాదాల ఉదాహరణలను అందిస్తుంది:

• LangChain బహుళ Langsmith API కీలను బహిర్గతం చేసినట్లు కనుగొనబడింది, కొన్ని సంస్థను నిర్వహించడానికి మరియు దాని సభ్యులను జాబితా చేయడానికి అనుమతులు ఉన్నాయి. ఈ రకమైన సమాచారం నిఘా కోసం దాడి చేసేవారిచే అత్యంత విలువైనది.

• ElevenLabs కోసం ఎంటర్‌ప్రైజ్-టైర్ API కీ సాదా వచన ఫైల్‌లో కూర్చుని కనుగొనబడింది.

• పేరులేని AI 50 కంపెనీ హగ్గింగ్‌ఫేస్ టోకెన్‌ను తొలగించిన కోడ్ ఫోర్క్‌లో బహిర్గతం చేసింది. ఈ సింగిల్ టోకెన్ “సుమారు 1K ప్రైవేట్ మోడల్‌లకు యాక్సెస్(ed)ని అనుమతించండి”. అదే కంపెనీ WeightsAndBiases కీలను కూడా లీక్ చేసింది, “అనేక ప్రైవేట్ మోడల్‌ల కోసం శిక్షణ డేటా”ను బహిర్గతం చేసింది.

సాంప్రదాయ భద్రతా స్కానింగ్ పద్ధతులు సరిపోనందున ఈ సమస్య చాలా ప్రబలంగా ఉందని Wiz నివేదిక సూచిస్తుంది. కంపెనీ యొక్క ప్రధాన GitHub రిపోజిటరీల యొక్క ప్రాథమిక స్కాన్‌లపై ఆధారపడటం అనేది “కమోడిటైజ్డ్ విధానం”, ఇది అత్యంత తీవ్రమైన నష్టాలను కోల్పోతుంది.

పరిశోధకులు పరిస్థితిని “మంచు పర్వతం”గా వర్ణించారు (అనగా చాలా స్పష్టమైన ప్రమాదాలు కనిపిస్తాయి, కానీ పెద్ద ప్రమాదం “ఉపరితలం క్రింద” ఉంది.) ఈ దాగి ఉన్న ప్రమాదాలను కనుగొనడానికి, పరిశోధకులు వారు “డెప్త్, పెరిమీటర్ మరియు కవరేజ్” అని పిలిచే త్రిమితీయ స్కానింగ్ పద్దతిని అనుసరించారు:

• లోతు: వారి లోతైన స్కాన్ “పూర్తి కమిట్ హిస్టరీ, కమిట్ హిస్టరీ ఆన్ ఫోర్క్స్, డిలీటెడ్ ఫోర్క్స్, వర్క్‌ఫ్లో లాగ్‌లు మరియు జిస్ట్‌లు”-అనేక స్కానర్‌లు “ఎప్పుడూ టచ్ చేయని” ప్రాంతాలను విశ్లేషించింది.

• చుట్టుకొలత: సంస్థ సభ్యులు మరియు సహకారులను చేర్చడానికి కోర్ కంపెనీ సంస్థకు మించి స్కాన్ విస్తరించబడింది. ఈ వ్యక్తులు “అనుకోకుండా కంపెనీకి సంబంధించిన రహస్యాలను వారి స్వంత పబ్లిక్ రిపోజిటరీలలోకి తనిఖీ చేయవచ్చు”. కోడ్ కంట్రిబ్యూటర్‌లు, సంస్థ అనుచరులు మరియు “హగ్గింగ్‌ఫేస్ మరియు ఎన్‌పిఎమ్ వంటి సంబంధిత నెట్‌వర్క్‌లలోని సహసంబంధాలను” ట్రాక్ చేయడం ద్వారా బృందం ఈ ప్రక్కనే ఉన్న ఖాతాలను గుర్తించింది.

• కవరేజ్: WeightsAndBiases, Groq మరియు Perplexity వంటి ప్లాట్‌ఫారమ్‌ల కోసం కీలు వంటి సాంప్రదాయ స్కానర్‌లు తరచుగా మిస్ అయ్యే కొత్త AI-సంబంధిత రహస్య రకాలను పరిశోధకులు ప్రత్యేకంగా వెతికారు.

ఈ విస్తరించిన దాడి ఉపరితలం చాలా వేగంగా కదిలే కంపెనీలలో భద్రతా పరిపక్వత స్పష్టంగా లేకపోవడంతో ముఖ్యంగా ఆందోళన కలిగిస్తుంది. పరిశోధకులు లీక్‌లను బహిర్గతం చేయడానికి ప్రయత్నించినప్పుడు, దాదాపు సగం బహిర్గతం లక్ష్యాన్ని చేరుకోవడంలో విఫలమయ్యాయని లేదా ఎటువంటి స్పందన రాలేదని నివేదిక పేర్కొంది. చాలా సంస్థలకు అధికారిక బహిర్గతం ఛానెల్ లేదు లేదా నోటిఫై చేసినప్పుడు సమస్యను పరిష్కరించడంలో విఫలమైంది.

Wiz యొక్క అన్వేషణలు ఎంటర్‌ప్రైజ్ టెక్నాలజీ ఎగ్జిక్యూటివ్‌లకు హెచ్చరికగా పనిచేస్తాయి, అంతర్గత మరియు మూడవ పక్ష భద్రతా ప్రమాదాన్ని నిర్వహించడానికి మూడు తక్షణ చర్య అంశాలను హైలైట్ చేస్తుంది.

1. భద్రతా నాయకులు తమ ఉద్యోగులను తమ కంపెనీ దాడి ఉపరితలంలో భాగంగా పరిగణించాలి. ఉద్యోగి ఆన్‌బోర్డింగ్ సమయంలో వర్తింపజేయడానికి సంస్కరణ నియంత్రణ వ్యవస్థ (VCS) మెంబర్ పాలసీని రూపొందించాలని నివేదిక సిఫార్సు చేస్తోంది. ఈ విధానం వ్యక్తిగత ఖాతాల కోసం బహుళ-కారకాల ప్రమాణీకరణను ఉపయోగించడం మరియు GitHub వంటి ప్లాట్‌ఫారమ్‌లలో వ్యక్తిగత మరియు వృత్తిపరమైన కార్యకలాపాల మధ్య ఖచ్చితమైన విభజనను నిర్వహించడం వంటి అభ్యాసాలను తప్పనిసరి చేయాలి.

2. అంతర్గత రహస్య స్కానింగ్ ప్రాథమిక రిపోజిటరీ తనిఖీలకు మించి అభివృద్ధి చెందాలి. పబ్లిక్ VCS రహస్య స్కానింగ్‌ను “నాన్-నెగోషియబుల్ డిఫెన్స్”గా తప్పనిసరి చేయాలని నివేదిక కంపెనీలను కోరింది. ఈ స్కానింగ్ ఉపరితలం క్రింద దాగి ఉన్న బెదిరింపులను కనుగొనడానికి పైన పేర్కొన్న “లోతు, చుట్టుకొలత మరియు కవరేజ్” ఆలోచనను తప్పనిసరిగా పాటించాలి.

3. ఈ స్థాయి పరిశీలన తప్పనిసరిగా మొత్తం AI సరఫరా గొలుసుకు విస్తరించబడాలి. AI విక్రేతల నుండి సాధనాలను మూల్యాంకనం చేసేటప్పుడు లేదా ఏకీకృతం చేస్తున్నప్పుడు, CISOలు వారి రహస్య నిర్వహణ మరియు దుర్బలత్వ బహిర్గత పద్ధతులను పరిశీలించాలి. చాలా మంది AI సర్వీస్ ప్రొవైడర్లు తమ స్వంత API కీలను లీక్ చేస్తున్నారని మరియు “వారి స్వంత రహస్య రకాలను గుర్తించడానికి ప్రాధాన్యత ఇవ్వాలి” అని నివేదిక పేర్కొంది.

ఎంటర్‌ప్రైజెస్ కోసం కేంద్ర సందేశం ఏమిటంటే, తదుపరి తరం సాంకేతికతను నిర్వచించే సాధనాలు మరియు ప్లాట్‌ఫారమ్‌లు తరచుగా భద్రతా పాలనను అధిగమించే వేగంతో నిర్మించబడుతున్నాయి. Wiz ముగించినట్లుగా, “AI ఆవిష్కర్తల కోసం, సందేశం స్పష్టంగా ఉంది: వేగం భద్రతకు రాజీపడదు”. ఆ ఆవిష్కరణపై ఆధారపడిన సంస్థలకు, అదే హెచ్చరిక వర్తిస్తుంది.

ఇవి కూడా చూడండి: ప్రత్యేకం: దుబాయ్ యొక్క డిజిటల్ గవర్నమెంట్ చీఫ్ AI సమర్థత రేసులో ఖర్చును స్పీడ్ ట్రంప్ అని చెప్పారు

పరిశ్రమ ప్రముఖుల నుండి AI మరియు పెద్ద డేటా గురించి మరింత తెలుసుకోవాలనుకుంటున్నారా? తనిఖీ చేయండి AI & బిగ్ డేటా ఎక్స్‌పో ఆమ్‌స్టర్‌డామ్, కాలిఫోర్నియా మరియు లండన్‌లో జరుగుతున్నాయి. సమగ్ర కార్యక్రమం ఇందులో భాగమే టెక్ఎక్స్ మరియు సహా ఇతర ప్రముఖ సాంకేతిక ఈవెంట్‌లతో కలిసి ఉంది సైబర్ సెక్యూరిటీ ఎక్స్‌పోక్లిక్ చేయండి ఇక్కడ మరింత సమాచారం కోసం.

AI వార్తలు ఆధారితం టెక్ఫోర్జ్ మీడియా. రాబోయే ఇతర ఎంటర్‌ప్రైజ్ టెక్నాలజీ ఈవెంట్‌లు మరియు వెబ్‌నార్‌లను అన్వేషించండి ఇక్కడ.