GitHub Secret Scanning năm 2024 phát hiện 39 triệu rò rỉ chứng chỉ tổ chức — một tăng 149% so với năm 2023. Các rò rỉ bao gồm mã trang web, khóa API, chứng chỉ cơ sở dữ liệu, khóa SSH riêng tư và mã truy cập OAuth.
Trợ Lý Mã AI: Lý Do Rò Rỉ Xảy Ra
GitHub Copilot (được cung cấp bởi OpenAI và Codex) được đào tạo trên 4 tỷ dòng mã công khai từ GitHub, Stack Overflow và các kho lưu trữ công khai khác. Khi một nhà phát triển nhập vào:
const apiKey = 'sk-
Copilot có thể đề xuất:
const apiKey = 'sk-proj-abc123def456...'
Nếu chuỗi đó tồn tại trong dữ liệu đào tạo, OpenAI's Codex có thể sao chép nó hoặc tạo ra một cái rất giống.
GDPR Ý Nghĩa
Nếu một khóa API chứa dữ liệu cá nhân (ví dụ: khóa API của dịch vụ CRM chứa ID khách hàng), thì rò rỉ của nó là một vi phạm GDPR. GDPR yêu cầu:
- Thông báo: Cảnh báo dữ liệu bị ảnh hưởng trong vòng 72 giờ.
- Biểu tượng: Tìm hiểu nguồn, phạm vi và dữ liệu nào bị ảnh hưởng.
- Nhu cầu PII: Xác định liệu khóa API chứa dữ liệu cá nhân hay không.
Sources: