Чому розробники залишають API ключі у відкритому доступі?

Основною причиною є культура vibe coding, де швидкість створення функцій ставиться вище за базові практики безпеки. Розробники часто сприймають API-ключі як звичайні конфігураційні значення, а не критичні секрети продакшну, і забувають видалити їх з історії комітів або .env-файлів.

Які типи ключів OpenAI були виявлені у вразливох продуктах?

Дослідники виявили два типи ключів: sk-proj-, які прив'язані до конкретного середовища та білінгу, та sk-svcacct-, призначені для бекенд-автоматизації або системної інтеграції. Обидва типи функціонують як привілейовані токени доступу до послуг інференсу та фінансових ресурсів.

Код • Редакція PROEVERYTHING • 2026-06-23 09:10 • Читати оригінал на Thecyberexpress • 1 хв читання • 1

Витік ChatGPT API keys у публічних репозиторіях та на вебсайтах

Масштабне дослідження Cyble Research and Intelligence Labs (CRIL) виявило критичну вразливість у безпеці розробки програмного забезпечення, появ’язану з неконтрольованим використанням штучного інтелекту. У публічних інфраструктурах зафіксовано тисячі відкритих ChatGPT API keys, що значно спрощує доступ зловмисникам до корпоративних ресурсів та бюджетів. Дослідники виявили понад 5000 репозиторіїв на GitHub із жорстко прописаними обліковими даними OpenAI, а також близько 3000 робочих вебсайтів, де ключі доступні безпосередньо у клієнтському JavaScript.

Головне

Cyble Research and Intelligence Labs виявили понад 5000 репозиторіїв на GitHub із відкритими ChatGPT API keys
Близько 3000 робочих вебсайтів мають ключі в клієнтському JavaScript, що дозволяє будь-кому побачити їх у мережевому трафіку
Витоки охоплюють типи sk-proj- та sk-svcacct-, які дають доступ до послуг інференсу та фінансових ресурсів компаній

Колонка редакції

Масштабне дослідження Cyble Research and Intelligence Labs підкреслює критичну проблему неконтрольованої інтеграції штучного інтелекту в програмний цикл. Витік тисяч ChatGPT API keys свідчить про системні помилки у gestione секретів, де швидкість розробки стає пріоритетнішою за базову безпеку. Ситуація з GitHub та робочими вебсайтами демонструє, як жорстко прописані облікові дані перетворюються на постійний технічний борг і прямий шлях для зловмисників до корпоративних бюджетів. Для галузі це сигнал необхідності впровадження автоматизованих інструментів сканування та суворого аудиту CI/CD пайплайнів ще на етапі прототипування, оскільки вартість усунення наслідків одного витоку може значно перевищити витрати на розробку самої фічі.

#ChatGPT #OpenAI #кібербезпека #GitHub #Cyble Research #штучний інтелект

Рука тримає смартфон із відкритим інтерфейсом чат-бота ChatGPT на фоні розмитих кімнатних рослин. · Джерело зображення: Thecyberexpress

За даними Thecyberexpress, дослідження Cyble Research and Intelligence Labs (CRIL) демонструють системний виклик для організацій, що інтегрують штучний інтелект у свої продукти. Виявлена практика свідчить про те, що швидкість впровадження AI-технологій значно випереджає розвиток стандартів кібербезпеки всередині розробкових команд.

GitHub як джерело витоку даних

Публічні репозиторії стали основним вектором пошуку секретів через звичку розробників вбудовувати ChatGPT API keys безпосередньо у вихідний код, конфігураційні файли або .env-файли під час інтенсивних циклів розробки. Хоча часто планується видалити ці дані пізніше, вони зберігаються в історії комітів, форках та архівних проєктах. Аналіз CRIL показав, що такі витоки охоплюють JavaScript-застосунки, Python-скрипти, CI/CD пайплайни та конфігурації інфраструктури.

Особливу небезпеку створює те, що автоматизовані сканери індексують ці дані майже в реальному часі. Це скорочує вікно між моментом витоку та експлуатацією ключа до лічених хвилин або годин.

Вразливості у живих продуктах

Окрім репозиторіїв, CRIL виявили близько 3000 вебсайтів, де ключі доступні безпосередньо в продакшн-середовищі. Ключі були вбудовані у JavaScript-бандли або активи фронтенд-фреймворків, що дозволяє будь-кому побачити їх під час перегляду мережевого трафіку. Виявлено два типи ключів:

sk-proj- — ключі проекту, прив'язані до конкретного середовища та білінгу;
sk-svcacct- — ключі сервісних акаунтів для бекенд-автоматизації або системної інтеграції.

Обидва типи функціонують як привілейовані токени доступу до послуг інференсу та фінансових ресурсів компанії. Як зазначає Richard Sands, CISO у Cyble: «Ера Штучного Інтелекту наступила — дисципліна безпеки ні. Токени стали новими паролями, і з ними поводяться неналежно».

Основною причиною таких помилок є культура «vibe coding», де пріоритет віддається швидкості створення функцій над базовими практиками безпеки. API-ключі часто сприймаються як звичайні конфігураційні значення, а не критичні секрети продакшну.

Для запобігання таким інцидентам розробникам необхідно використовувати змінні середовища та спеціалізовані сервіси для управління секретами замість жорсткого кодування ключів у вихідному коді.

Контекст для України

Для українських розробників та компаній цей інцидент підкреслює необхідність суворого дотримання стандартів безпеки при інтеграції OpenAI в локальні продукти. На ринку України, де багато стартапів швидко масштабують AI-сервіси, витік ключа може призвести до швидкого вичерпання бюджету у валюті або блокування акаунтів. Особливо це актуально для українських IT-компаній, що працюють з клієнтськими даними, де комплаєнс є критичним. Рекомендовано використовувати інструменти як GitGuardian або Secrets Scanner вже на етапі локальної розробки.

Часті запитання

Чому розробники залишають API ключі у відкритому доступі?: Основною причиною є культура vibe coding, де швидкість створення функцій ставиться вище за базові практики безпеки. Розробники часто сприймають API-ключі як звичайні конфігураційні значення, а не критичні секрети продакшну, і забувають видалити їх з історії комітів або .env-файлів.
Які типи ключів OpenAI були виявлені у вразливох продуктах?: Дослідники виявили два типи ключів: sk-proj-, які прив'язані до конкретного середовища та білінгу, та sk-svcacct-, призначені для бекенд-автоматизації або системної інтеграції. Обидва типи функціонують як привілейовані токени доступу до послуг інференсу та фінансових ресурсів.

Свіжі новини у нашому Telegram

Отримуйте миттєві сповіщення про нові публікації в рубриці «Код»

@procodeandevenmore