Um estudo recente analisou as 50 principais empresas privadas de inteligência artificial e revelou um cenário preocupante: 65% delas apresentaram vazamento de segredos sensÃveis em repositórios públicos do GitHub. Esses segredos incluem chaves de API, tokens, credenciais internas e até acesso a modelos privados e dados de treinamento. Mesmo empresas com pouca exposição pública tiveram incidentes, mostrando que o problema não está apenas no tamanho do código publicado, mas na falta de práticas sólidas de segurança.
A pesquisa adotou uma abordagem profunda, indo além dos repositórios principais. Foram analisados commits antigos, forks deletados, gists, logs de workflows e perfis pessoais de desenvolvedores ligados às organizações. Esse ecossistema ampliado — muitas vezes ignorado — se mostrou um dos principais responsáveis por exposições acidentais. Em alguns casos, apenas uma chave vazada em um fork esquecido poderia permitir acesso a centenas de modelos privados ou informações internas de equipes.
Outro achado importante diz respeito às próprias empresas de IA, que frequentemente deixam expostos tokens de plataformas que elas mesmas operam, como LangChain, ElevenLabs ou HuggingFace. A falta de canais adequados de disclosure também agrava o risco: quase metade das notificações de vazamento nunca recebeu resposta das empresas afetadas.
Os pesquisadores reforçam que vazamentos desse tipo podem abrir caminhos para espionagem industrial, manipulação de modelos, roubo de propriedade intelectual e ataques direcionados contra colaboradores e clientes. Para organizações que desenvolvem IA, a velocidade de inovação não pode superar o rigor na proteção de segredos.
Dica de Prevenção
Empresas devem adotar scanners de segredos, rever polÃticas de uso de repositórios pessoais, exigir MFA em contas de desenvolvedores e garantir processos de disclosure claros. Atualizar continuamente os tipos de segredos monitorados é essencial, já que novas plataformas de IA surgem rapidamente.
Conclusão
O aumento dos vazamentos no GitHub mostra que o risco está mais profundo do que parece. Para reduzir ataques envolvendo chaves expostas, processos fragilizados e cadeias de desenvolvimento vulneráveis, fortaleça a segurança da sua empresa com o apoio especializado da LC SEC em lcsec.io.
Compartilhe nas redes sociais:
