AI 企業の 65% が GitHub 上で API キーやトークンを公開:惨憺たるシークレット漏洩の現状

65% of Top AI Firms Found Exposing Verified API Keys and Tokens on GitHub

2025/11/11 gbhackers — AI に関する包括的なセキュリティ分析により、憂慮すべき実態が明らかになった。主要 AI 企業の 65% が GitHub 上で認証済みシークレットを公開し、重要な API キー/認証トークン/機密認証情報を漏洩しており、ユーザー組織全体に危険が及ぶ可能性があるという。Wiz の研究者たちが明らかにしたのは、Forbes AI 50 リストに掲載された主要 AI 企業 50 社の 65% が、検証済みシークレットを公開していたことだ。なお、これらの漏洩は目立たない場所にも存在していたという。

具体的には、削除済みリポジトリのフォーク/Gist/開発者リポジトリなどの見つけにくい場所に存在しており、多くの漏洩は従来のスキャン・ツールでは検出されなかった。それが浮き彫りにするのは、この問題の危険性である。

現代の機密漏洩の分析

今回の機密漏洩は氷山の一角に過ぎない。さまざまなリスクが存在するが、稼働中のリポジトリに直接コミットされた認証情報が、最も危険であることは明白だ。しかし水面下には、より深いレベルの危険が潜んでいる。

その一例として挙げられるのは、削除されたフォークに完全なコミット履歴が保持され、古い機密情報への永続的なアクセスが可能なケースである。そのワークフロー・ログには、自動デプロイ中に使用された認証情報が含まれている可能性がある。

さらに、AI 企業に勤務する開発者の個人リポジトリに関しては、組織の機密情報が誤ってコミットされ、それ自体が忘れられているケースも多い。これらの多層的な露出は、複数の攻撃経路を生み出すが、従来のスキャナーでは見逃されてしまう。

今回の調査手法は、標準的な GitHub 組織検索を大きく超えるものであり、フォークされたリポジトリ/削除済みフォーク/ワークフロー設定に加えて、個人開発者アカウントのコミット履歴までを調査し、対象となる AI 企業との関連性を明らかにした。

こうして漏洩する認証情報は、AI 企業のインフラにおける最も価値の高い資産の一部である。たとえば Weights & Biases トークンでは、非公開の機械学習モデルのトレーニング・データへのアクセスが可能となり、Hugging Face 認証トークンでは、数千の非公開モデル・リポジトリへのアクセスが可能になる。それに加えて、ElevenLabs API キーと LangChain 組織認証情報は、独自システムや機密組織情報へのゲートウェイ・アクセスを可能にする。

こうして漏洩していく情報により、即時的な侵害の可能性が高まるが、組織構造/メンバーリスト/内部関係性が露呈するため、標的型攻撃やソーシャル・エンジニアリング攻撃を展開する脅威アクターにとって、きわめて価値ある情報となる。

注目すべき事例として、削除されたフォークに Hugging Face トークンが含まれるというケースがあり、それにより、約 1,000 の非公開モデルへのアクセスが可能になっていた。さらに、複数の Weights & Biases キーが漏洩し、多数の独自システムのトレーニング・データセットが侵害にさらされていた。

この調査により明らかになったものには、こうした情報漏洩を防止する上での有益な視点もある。ある AI 企業は 60 の公開リポジトリと 28 の組織メンバーを抱えながら、機密情報が一切漏洩しなかった。それが示すのは、堅牢な機密管理戦略が実際に機能することだ。

その一方で、最小限のリソースを公開する企業でも漏洩が発生しており、規模の拡大と一致しないことが確認できる。LangChain や ElevenLabs といった業界リーダーは、公表された脆弱性を認めて迅速に修正した。しかしながら、全体的な情報開示の状況は依然として厳しい。

漏洩事例に関する報告が行われたが、ほぼ半数のケースでは、何の反応も得られていないことから、対象企業に届かなかったと推測される。多くの AI 企業は公式開示チャネルを欠き、セキュリティ報告を無視する傾向にある。

AI 革命をリードする組織にとって必要なことは、以下の3つの重要なセキュリティ対策を直ちに講じることである:

  1. すべての公開バージョン管理システムに、シークレット情報スキャンを義務付ける。組織の規模やリポジトリの件数に関わらず、これは譲れない必須条件である。
  2. 適切な開示チャネルと対応手順を、初期段階から確立すべきである。新興 AI スタートアップは、セキュリティ・プログラムを後付けではなく、基盤となる要素として扱う必要がある。
  3. AI サービス・プロバイダーは広範なセキュリティ・コミュニティと連携し、新規の独自シークレット・フォーマットが数千のリポジトリに拡散する前に、検出ツールを活用することで、対策を施す必要がある。

AI の将来の発展は、スピードとイノベーションに依存している。しかし、イノベーションが損なわれるなら、その未来は無価値となる。世界中の AI 企業にとって、シークレットの保護は、進化する能力に歩調を合わせ続けることと同義である。

数多くの AI 企業が、GitHub 上で API キーや認証トークンなどのシークレットを公開している実態が説明されています。削除済みフォーク/個人リポジトリ/ワークフローログなど、表から見えにくい場所に機密情報が残り続けることに原因があるとされます。また、そうした場所を従来のスキャンツールが十分にカバーできず、企業側の開示窓口や対応プロセスが整っていないという問題も重なっています。こうした背景から、有名な AI 企業であっても、仕組みと運用のすき間から漏洩が起きてしまうと、この記事は指摘しています。よろしければ、カテゴリ AI/ML を、ご利用ください。