雲端安全巨頭 Wiz 分析了與全球最大人工智慧公司相關的 GitHub 程式碼庫，發現其中許多程式碼庫洩露了經過驗證的機密信息。這一發現對快速發展的人工智慧產業構成嚴重的安全警告。洩漏的機密資訊通常由 GitHub 自身的掃描器、倉庫所有者進行的掃描以及第三方出於行銷目的進行的自動掃描發現，顯示儘管有既有的安全工具，但問題的普遍性依然嚴峻。

Wiz 的分析重點在於福布斯 AI 50強榜單中的人工智慧公司，結果顯示，在 GitHub 上有記錄的公司中，65% 都曾發生過機密外洩事件。這項數據凸顯了機密管理在現代軟體開發和雲端部署流程中的巨大漏洞。Wiz 指出：「經證實發生機密洩露事件的公司總估值超過4000 億美元。」這意味著全球最具價值和創新性的部分企業，正將其核心數位資產暴露於不必要的風險之下。

洩漏的金鑰類型包括 API 金鑰、令牌和憑證，其中包括與 Google API、Weights & Biases、Flickr、Infura、ElevenLabs 和 Hugging Face 相關的金鑰、令牌和憑證。這些被洩露的金鑰和憑證，是攻擊者獲取公司內部資源、雲端服務或第三方平台存取權的直接途徑。更嚴重的是，洩漏的部分機密資訊可能涉及私有模型、訓練資料和組織結構。對於以智慧財產為核心競爭力的 AI 公司而言，訓練數據和專有模型的洩露可能導致巨大的經濟損失和競爭優勢的削弱。

造成這種廣泛洩漏的原因通常在於開發者在程式碼中硬編碼（Hardcoding）敏感資訊，並將其推送到版本控制系統（VCS）中，例如 Git。即使機密隨後被移除，由於 Git 的歷史記錄特性，機密資訊仍可能存在於歷史版本中，從而被惡意行為者或自動化掃描器提取。

為防止機密擴散，Wiz 建議人工智慧公司（這些建議也適用於其他類型的組織）應採取以下關鍵措施：

1. 強制執行公開的 VCS 秘密掃描(註)：在程式碼被推送之前或之後立即在版本控制系統層級實施自動化掃描工具。這些工具應能偵測程式碼和設定檔案中的高熵字串或已知模式的機密資訊。

2. 建立揭露管道：建立一個清晰且易於使用的揭露機制（例如，類似漏洞賞金計劃），以便第三方更容易、安全地報告他們發現的秘密洩露。

3. 優先檢測專有秘密類型：除了常見的第三方服務金鑰外，還應定制掃描規則以檢測與組織內部系統、私有資料庫、專有模型或雲端環境相關的特定憑證。

透過將機密管理內建到開發流程（DevSecOps）的早期階段，並結合持續的自動化掃描和第三方協作機制，企業才能有效地降低程式碼庫洩露帶來的嚴重安全風險。

CS（Version Control System）秘密掃描，指的是在程式碼版本控制系統（如 GitHub、GitLab、Bitbucket）中，針對程式碼庫進行自動化檢測，以找出不應該被提交的敏感資訊（Secrets）。

1. 可能的敏感資訊：

•  API 金鑰
• 資料庫帳號密碼
• 雲端服務憑證（AWS、Azure、GCP）
• OAuth Token、SSH Key
• 金融或支付憑證（Stripe、PayPal）

2. 常見的秘密掃描工具與功能

• GitHub Secret Scanning：內建於 GitHub，能自動偵測常見憑證模式，並與合作廠商（AWS、Slack 等）整合，主動通知憑證外洩。
• GitLab Secret Detection：作為 GitLab CI/CD 的安全測試功能，支援正則規則與第三方整合。
• TruffleHog：開源工具，能掃描 Git commit 歷史，找出高熵字串（可能是金鑰）。
• Gitleaks：輕量化工具，支援自訂規則，適合在 CI/CD pipeline 中使用。

3. 相關標準與政策

• NIST SP 800-53 / NIST Cybersecurity Framework：要求保護憑證與敏感資訊。
• ISO/IEC 27001:2022：資訊安全管理系統，強調存取控制與憑證保護。
• OWASP Top 10：將「敏感資料外洩」列為主要風險之一。
• GDPR / 個資法：若憑證外洩導致個資洩漏，可能觸法。