Önde Gelen Yapay Zeka Firmalarının Gizli Verileri Açığa Çıktı

Yeni bir güvenlik araştırması, önde gelen yapay zeka şirketlerinin önemli bir bölümünün GitHub üzerinde farkında olmadan gizli bilgilerini sızdırdığını ortaya koydu. Kod paylaşımı ve iş birliği için dünya genelinde en yaygın kullanılan platformlardan biri olan GitHub’da yürütülen incelemeye göre, sektörün önde gelen yapay zeka firmalarının yaklaşık %65’i, sistemlere, modellere veya eğitim verilerine erişim imkanı sağlayabilecek API anahtarları, token ve benzeri hassas bilgileri ifşa etmiş durumda.

Araştırma veri sızıntılarının yalnızca aktif projelerde değil, silinmiş veya eski sürüm kayıtları, işlem günlükleri ve geliştiricilerin kişisel depoları gibi genellikle göz ardı edilen alanlarda da bulunduğunu ortaya koydu. Bu bulgular, kurumların güvenlik denetimlerinde farkına varmadığı geniş bir risk alanına dikkat çekiyor. Uzmanlar bu görünmeyen tehlikeyi “güvenlik buzdağının su altındaki kısmı” olarak tanımlıyor.

Araştırmacılar sızıntıların kaynağını bulmak için klasik güvenlik taramalarının ötesine geçerek kapsamlı bir analiz gerçekleştirdi. İnceleme sırasında yalnızca mevcut projeler değil, geçmiş sürümler, silinmiş kod parçaları ve geliştiricilerin kişisel GitHub hesapları da incelendi. Böylece hem kurumlara ait depolarda hem de çalışanların kendi projelerinde farkında olmadan paylaşılmış gizli bilgilerin izine rastlandı. Ayrıca, geleneksel araçların tespit edemediği yapay zekaya özgü erişim bilgileri ve özel platformlara ait anahtarlar da araştırmanın kapsamına dahil edilerek güvenlik açığının gerçek boyutu ortaya kondu.

Elde edilen bulgular hem büyük teknoloji şirketlerinin hem de küçük ölçekli yapay zeka girişimlerinin benzer risklerle karşı karşıya olduğunu gösterdi. Bazı durumlarda, tek bir erişim anahtarının binin üzerinde özel yapay zeka modeline erişim sağlayabildiği tespit edildi. Başka bir örnekte yüksek yetkilere sahip API anahtarlarının düz metin halinde yapılandırma dosyalarında yer aldığı görüldü. Bu tür sızıntılar, yalnızca gizli modellere değil, aynı zamanda kurumsal veri setlerine, sistem yapılarına ve fikri mülkiyete yönelik tehditler doğuruyor.

Araştırma ayrıca güvenlik bildirim süreçlerindeki eksiklikleri de ortaya koydu. Bazı firmalar bildirimlere hızlı yanıt verirken, yaklaşık yarısı geri dönüş yapmadı veya iletişim kanalı bulunamadı. Pek çok şirketin resmi bir güvenlik açığı bildirim mekanizmasının bulunmaması, sızan verilerin tespit ve giderilme sürecini ciddi ölçüde zorlaştırıyor.

Uzmanlara göre, bu tür vakaların önüne geçebilmek için şirketlerin güvenlik politikalarını yeniden gözden geçirmesi şart. Öneriler arasında; tüm GitHub depolarında otomatik gizli bilgi taramalarının zorunlu hale getirilmesi, şeffaf ve erişilebilir bir bildirim kanalı oluşturulması ve yapay zekaya özgü kimlik bilgilerini algılayabilecek özel tespit sistemlerinin geliştirilmesi yer alıyor.

Ayrıca, geliştiricilerin kişisel depolarının da kurumun genişletilmiş saldırı yüzeyinin bir parçası olarak değerlendirilmesi gerektiği vurgulanıyor. Bu kapsamda geliştirici farkındalığının artırılması, çok faktörlü kimlik doğrulama (MFA) kullanımının zorunlu tutulması ve kişisel-kurumsal kod aktivitelerinin ayrıştırılması öneriliyor.

Sonuç olarak, araştırma yapay zeka sektöründeki hızlı inovasyonun güvenlik süreçlerini geride bıraktığını ortaya koyuyor. Yenilik ve hız, güvenliğin yerine geçmemeli. Sızdırılan tek bir erişim anahtarı, yalnızca bir projenin değil, tüm bir kurumun güvenliğini tehlikeye atabilir. Şirketlerin teknolojik gelişimle birlikte güvenlik süreçlerini eş zamanlı olarak güçlendirmesi gerekiyor.