65% das principais empresas de IA expõem chaves privadas de API no GitHub

Segundo uma empresa de segurança, 65% das companhias presentes no ranking Forbes AI 50 publicaram acidentalmente “segredos verificados” no GitHub, com exceção de algumas que não mantêm perfis na plataforma.

Embora a maioria dos nomes não tenha sido divulgada — à exceção da ElevenLabs —, a lista do ranking inclui organizações como OpenAI, Anthropic, Perplexity, xAI, Midjourney, Mistral, Windsurf e Suno.

De acordo com os pesquisadores, alguns desses vazamentos podem ter exposto estruturas internas, dados de treinamento ou até modelos privados. As informações comprometidas envolvem chaves de API, tokens e outras credenciais digitais.

Os principais vetores de exposição foram arquivos do Jupyter Notebook (.ipynb), arquivos Python (.py) e arquivos de ambiente (.env), contendo chaves e tokens, principalmente das plataformas Hugging Face e Azure OpenAI. No caso da ElevenLabs, uma chave foi encontrada em um arquivo de texto simples chamado mcp.json.