Metodologia e achados
O estudo analisou 50 empresas do ranking Forbes AI 50 e aplicou uma abordagem em três frentes: “Depth” (histórico de commits, forks deletados, workflows e gists), “Perimeter” (repositórios pessoais de colaboradores) e “Coverage” (detecção para tipos de segredos específicos ao ecossistema de IA). A Wiz relata que 65% dos alvos apresentaram segredos verificados expostos.
Exemplos e consequências
Entre os vazamentos mais impactantes a pesquisa aponta Langsmith API keys com acesso em nível de organização e credenciais enterprise de ElevenLabs em arquivos de configuração em texto plano. Um dos casos anônimos incluiu um token do Hugging Face que dava acesso a cerca de 1.000 modelos privados, além de múltiplas chaves do Weights & Biases que afetariam dados proprietários de treinamento.
Escopo comercial
O relatório observa que as empresas afetadas, em conjunto, têm avaliação superior a US$ 400 bilhões. O material também afirma que organizações menores mostraram vulnerabilidades similares, inclusive aquelas com poucos repositórios públicos.
Recomendações publicadas
A Wiz destaca medidas que devem ser adotadas: implementar varredura obrigatória de segredos em sistemas de controle de versão públicos, estabelecer canais de divulgação desde a fase inicial do desenvolvimento e desenvolver detecções customizadas para formatos proprietários de segredos usados por provedores de IA.
Implicações para operações de segurança
O estudo reforça a necessidade de cobrir superfícies de ataque “submersas” (forks deletados, gists, repositórios pessoais) e adaptar ferramentas de detecção para tokens e formatos emergentes no ecossistema de IA. As fontes consultadas não fornecem uma lista pública de credenciais encontradas nem detalhes de casos em andamento de exploração ativa.
As informações são baseadas no relatório e no resumo publicado pela Cyber Security News, que reproduz as conclusões divulgadas pela Wiz.