Um estudo revelou que 65% das principais empresas de inteligência artificial vazaram segredos em repositórios públicos do GitHub. Esses vazamentos incluem chaves de API e credenciais internas, send...
Um estudo revelou que 65% das principais empresas de inteligência artificial vazaram segredos em repositórios públicos do GitHub. Esses vazamentos incluem chaves de API e credenciais internas, sendo resultado da falta de práticas de segurança adequadas. A situação demanda atenção urgente para evitar riscos como espionagem industrial e roubo de propriedade intelectual.
Um estudo recente analisou as 50 principais empresas privadas de inteligência artificial e revelou um cenário preocupante: 65% delas apresentaram vazamento de segredos sensíveis em repositórios públicos do GitHub. Esses segredos incluem chaves de API, tokens, credenciais internas e até acesso a modelos privados e dados de treinamento.
Mesmo empresas com pouca exposição pública tiveram incidentes, mostrando que o problema não está apenas no tamanho do código publicado, mas na falta de práticas sólidas de segurança.
A pesquisa adotou uma abordagem profunda, indo além dos repositórios principais. Foram analisados commits antigos, forks deletados, gists, logs de workflows e perfis pessoais de desenvolvedores ligados às organizações. Esse ecossistema ampliado — muitas vezes ignorado — se mostrou um dos principais responsáveis por exposições acidentais.
Em alguns casos, apenas uma chave vazada em um fork esquecido poderia permitir acesso a centenas de modelos privados ou informações internas de equipes.
Outro achado importante diz respeito às próprias empresas de IA, que frequentemente deixam expostos tokens de plataformas que elas mesmas operam, como LangChain, ElevenLabs ou HuggingFace. A falta de canais adequados de disclosure também agrava o risco: quase metade das notificações de vazamento nunca recebeu resposta das empresas afetadas.
Os pesquisadores reforçam que vazamentos desse tipo podem abrir caminhos para espionagem industrial, manipulação de modelos, roubo de propriedade intelectual e ataques direcionados contra colaboradores e clientes. Para organizações que desenvolvem IA, a velocidade de inovação não pode superar o rigor na proteção de segredos.
Dica de Prevenção
Empresas devem adotar scanners de segredos, rever políticas de uso de repositórios pessoais, exigir MFA em contas de desenvolvedores e garantir processos de disclosure claros. Atualizar continuamente os tipos de segredos monitorados é essencial, já que novas plataformas de IA surgem rapidamente.
Os segredos expostos incluem chaves de API, tokens de acesso, credenciais internas e até dados de treinamento de modelos.
Realizando auditorias regulares em repositórios, monitorando commits e implementando scanners de segredos.
Um vazamento pode levar a espionagem industrial, manipulação de modelos e roubo de propriedade intelectual, prejudicando a segurança da empresa e de seus clientes.
É crucial notificar as partes afetadas imediatamente, revogar o acesso comprometido e investigar a origem do vazamento.
Promova treinamentos sobre segurança, implemente autenticação multifator e revise as políticas de uso de repositórios pessoais.
Os vazamentos no GitHub mostram que o risco está mais profundo do que parece. Para reduzir ataques envolvendo chaves expostas, fortaleça a segurança da sua empresa com o apoio especializado da LC SEC.