Threats
A investigação da Wiz detetou falhas graves em repositórios GitHub de empresas de inteligência artificial, revelando chaves, credenciais e dados sensíveis. A Europa não escapa a este problema crescente
11/11/2025
|
Uma análise conduzida pela Wiz revelou que 65% das companhias de Inteligência Artificial (IA) incluídas na lista Forbes AI 50 tinham segredos expostos nos seus repositórios públicos do GitHub. O estudo identificou falhas que podem comprometer dados de treino, estruturas organizacionais e até modelos privados, num conjunto de empresas cujo valor combinado ultrapassa os 400 mil milhões de dólares. A Wiz decidiu aprofundar o problema da dispersão de segredos, indo além dos scans automáticos convencionais do GitHub. O trabalho incluiu a análise do histórico completo de todas as alterações feitas num repositório de código, inclusive em forks apagados, gists e logs de workflows. Foram também avaliadas as atividades de membros e colaboradores das organizações, já que a exposição de segredos pode ocorrer em repositórios pessoais de forma involuntária. Entre os dados encontrados, surgem chaves de API, tokens e credenciais associadas a plataformas como Google API, Weights & Biases, Flickr, Infura, ElevenLabs e Hugging Face. Em alguns casos, os segredos poderiam permitir o acesso a informação privada ou a sistemas internos. As empresas afetadas foram notificadas e a Wiz destaca a rápida reação de algumas, como a ElevenLabs e a Langchain, mas indica que cerca de metade das notificações não teve resposta. Em muitos casos, as organizações não possuíam canais formais para a divulgação responsável de vulnerabilidades ou simplesmente ignoraram os alertas. Os resultados mostram que a exposição de segredos não depende do tamanho ou da visibilidade da empresa, uma vez que a Wiz encontrou casos de pequenas organizações com repositórios mínimos, mas com segredos sensíveis expostos e, inversamente, outras com dezenas de repositórios públicos e práticas exemplares de gestão de credenciais. Na Europa, onde o ecossistema de startups de IA tem crescido rapidamente, a situação não é muito diferente. O modelo colaborativo de desenvolvimento, aliado à ausência de políticas de segurança eficazes, facilita a exposição de segredos empresariais em repositórios públicos. A Wiz sublinha que as empresas europeias enfrentam desafios adicionais relacionados com a conformidade e proteção de dados, o que torna esta exposição particularmente delicada. Para responder a este cenário, a empresa recomenda que as organizações imponham mecanismos de verificação de segredos em sistemas de controlo de versões públicos, criem canais de comunicação claros para a notificação de falhas e reforcem a deteção de credenciais proprietárias. |
Receba todas as novidades na sua caixa de correio!
THREATS
Infostealers responsáveis por mais de 80% da atividade de malware, alerta CNCS
THREATS
Falhas no Microsoft Teams permitem falsificar identidades e manipular mensagens
ANALYSIS
Maioria das PME europeias não têm estratégia de cibersegurança
OPINION
Shadow AI: A ameaça invisível à segurança da sua organização
ITS CONF
Rapid7: “A realidade é que não conseguimos proteger o que não conseguimos ver” (com video)
THREATS
SAP lança novas notas de segurança para corrigir falhas críticas em múltiplos produtos
THREATS
Segredos expostos no GitHub atingem empresas de IA avaliadas em mais de 400 mil milhões de euros
THREATS
TP-Link: EUA avançam com proposta para banir a marca
THREATS
Vulnerabilidade zero-day em dispositivos explorada para distribuir spyware
THREATS
Plataformas de cloud e IA são porta de entrada para ataques no setor industrial
