Únik dôverných údajov zhromaždených asistentmi umelej inteligencie do repozitára Git

S rastúcou popularitou AI asistentov vývojári zaznamenali nárast prípadov úniku citlivých údajov do verejných repozitárov Git, často medzi informáciami uloženými nástrojmi AI v pracovnom strome projektu. AI asistenti Claude Code, Cursor, Continue, Aider, OpenAI Codex, Copilot, Sourcegraph Cody a Amazon Q vytvárajú lokálne konfiguračné súbory a adresáre v koreňovom adresári projektu, ktoré môžu okrem iného ukladať históriu operácií a kontextové údaje.

Súbory uložené asistentmi AI môžu obsahovať prístupové kľúče API, reťazce pripojenia k DBMS, odkazy na interné zdroje a poverenia na pripojenie ku cloudovým prostrediam. Tieto poverenia získa asistent AI pri vykonávaní inštrukcií, po práci s lokálnymi nastaveniami alebo sú zachytené v kontexte súvisiacem s projektom. Pre vývojárov nie je zhromažďovanie takýchto údajov v hierarchii súborov projektu zrejmé, takže mnohí zabúdajú pridať adresáre vytvorené asistentmi AI do súboru .gitignore a po publikovaní zmien ich presunúť do verejného repozitára Git.

Nástroj claudleak bol vyvinutý na detekciu takýchto únikov vo verejných repozitároch GitHub. Testovacie skenovanie GitHub odhalilo, že približne 2.4 % repozitárov obsahujúcich podadresáre s nastaveniami asistenta umelej inteligencie obsahovalo platné kľúče alebo prihlasovacie údaje, ktorých platnosť bola overená samostatnou kontrolou. Autor nástroja narazil na problém, keď si vo svojom repozitári všimol súbor s názvom „.claude/settings.local.json“, ktorý obsahoval prístupové kľúče a heslá prenášané cez premenné prostredia.

Vývojárom používajúcim AI asistentov sa odporúča pridať adresáre .claude/, .cursor/, .continue/, .copilot/ a .aider/ do súboru .gitignore a nakonfigurovať ich tak, aby boli ignorované prostredníctvom globálneho filtra pomocou príkazu „git config --global core.excludesfile file_with_list“.

Zdroj: opennet.ru

Kúpte si spoľahlivý hosting pre stránky s DDoS ochranou, VPS VDS servery 🔥 Kúpte si spoľahlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster