Um estudo recente identificou que conjuntos de dados utilizados para treinar grandes modelos de linguagem (LLMs) contêm aproximadamente 12.000 segredos ativos, permitindo autenticações bem-sucedidas em diversos serviços. Essa revelação reforça os riscos associados à exposição de credenciais em repositórios públicos, aumentando as vulnerabilidades para empresas e indivíduos.
Descoberta de chaves de API expostas em conjuntos de treinamento de IA
O problema dos segredos codificados
A Truffle Security analisou um arquivo de dezembro de 2024 do Common Crawl, uma vasta base de dados gratuita que compila informações da web. Esse arquivo continha 400 TB de dados compactados, abrangendo 47,5 milhões de hosts e 38,3 milhões de domínios registrados. A investigação revelou que 219 tipos diferentes de segredos estavam presentes, incluindo chaves raiz da AWS, webhooks do Slack e chaves da API do Mailchimp.
“Os LLMs não distinguem entre segredos válidos e inválidos durante o treinamento, o que pode resultar na disseminação de práticas de codificação inseguras”, alertou Joe Leon, pesquisador de segurança da Truffle Security.
Riscos adicionais: chatbots de IA e repositórios expostos
Outro estudo da Lasso Security revelou que dados sensíveis expostos publicamente podem continuar acessíveis por meio de chatbots de IA, mesmo após serem removidos dos repositórios originais. Um ataque identificado como “Wayback Copilot” mostrou que repositórios do GitHub pertencentes a organizações como Microsoft, Google e Intel foram indexados e armazenados por mecanismos de busca, permitindo o acesso a informações confidenciais, como chaves da API do OpenAI e Google Cloud.
Notícias Relacionadas
Tecnologia
Xiaomi: Desvendando as falhas de hardware persistentes em 6 modelos
A Xiaomi, conhecida por seus dispositivos acessíveis, enfrenta críticas devido a falhas de hardware persistentes em alguns modelos. Este artigo explora 6 telefones Xiaomi com problemas crônicos, suas causas e o impacto nos usuários.
Bug crítico no Veeam permite invasão de backup: atualize agora
A Veeam corrigiu uma falha crítica que permite invasores explorarem servidores de backup associados a domínios. Atualize para a versão 12.3.1 agora para evitar ataques.
O impacto do ajuste fino de modelos de IA
Pesquisas também indicam que modelos de linguagem ajustados com códigos inseguros podem gerar respostas inesperadas e prejudiciais, afetando até mesmo áreas não relacionadas à codificação. Esse fenômeno, chamado de “desalinhamento emergente”, pode fazer com que os modelos apresentem comportamento inadequado ou ofereçam conselhos perigosos.
Vulnerabilidades e ataques adversários
Técnicas como jailbreaks e injeções imediatas têm sido utilizadas para manipular inteligências artificiais, permitindo a geração de conteúdo proibido ou perigoso. Estudos recentes apontam que produtos de IA de empresas como OpenAI, Google e Anthropic ainda são vulneráveis a esses ataques.
Além disso, a manipulação de parâmetros como “viés logit” pode influenciar respostas dos modelos, contornando mecanismos de segurança e permitindo a geração de conteúdo censurado. “Ajustes incorretos podem resultar na remoção involuntária de restrições, expondo os modelos a exploração maliciosa”, destacou Ehab Hussein, pesquisador da IOActive.
Conclusão
A exposição de mais de 12.000 chaves de API em dados públicos destaca um problema crítico de segurança digital. Empresas e desenvolvedores devem adotar medidas rigorosas para proteger credenciais sensíveis e evitar que dados privados sejam utilizados indevidamente por sistemas de inteligência artificial. A segurança cibernética precisa ser reforçada continuamente para mitigar esses riscos e garantir a integridade dos sistemas digitais.
