クラウドセキュリティ企業のWizは2025年11月10日、Forbes「AI 50」に選ばれた民間AI企業を対象にGitHub周辺を深掘りスキャンした結果、65%の企業でAPIキーやトークン等の検証済みの秘密情報の漏えいが見つかったと発表しました。漏えいは削除済みフォークやGist、ワークフローのログなど、一般的なスキャナが見逃しがちな層に多く、組織構造や学習データ、非公開モデルに接続しうる情報が含まれていた可能性があると指摘しています。
調査の狙いと対象
Wizは、従来の「GitHub組織直下だけを走査する」手法では検知できない露出を可視化するため、Forbes「AI 50」の民間AI企業を対象に、公開リポジトリの有無に関わらず広く調査しました。これは、同社が今年実施したAI関連の秘密情報漏えいシリーズの第2弾で、大規模なGitHubフットプリントを持つ企業は高確率で秘密情報を露出しているとの仮説を検証しています。
方法:Depth・Perimeter・Coverageの3軸で深掘り
Wizはスキャン範囲を「表層のコード検索」にとどめず、
コミット履歴、フォークの履歴、削除済みフォーク、ワークフローのログ、Gist(とそのフォーク)まで掘り下げました
さらに、組織メンバーや貢献者の“個人公開リポジトリ/Gistも対象に拡張
メンバーの調査には、公開メンバー一覧、組織フォロワー、メタデータ上の社名参照、GHArchiveによる貢献履歴、HuggingFaceやnpmの関連性などから候補を広げ、手動・自動で絞り込みました。
加えて、AI固有のシークレット種別(例:Weights & Biases、ElevenLabs、HuggingFace、Groq、Perplexityなど)に対応し、従来ツールが見落とす形式までカバー(Coverage)しています。
主な結果
-
65%(約3社に2社)で検証済みの秘密情報漏えいを確認しました。
-
漏えいが確認された企業群の合計評価額は4,000億ドル超((約60兆円))に上るとしています。
-
公開リポジトリ0/組織メンバー14名という表向きの足跡が小さい企業でも漏えいが見つかった一方、公開リポジトリ60/組織メンバー28名の企業では露出が確認されませんでした。Wizは、後者は適切なシークレット管理が機能しているポジティブ例だと評価しています。
-
流出の多い種別は、Weights & Biases、ElevenLabs、HuggingFace等のAI関連キーやトークンで、前回調査と傾向は概ね一致しました。
具体例(いずれも是正済み・匿名例含む)
-
LangChain:
.pyや.ipynb、.envにLangSmithの組織レベルAPIキーが複数含まれ、org:manage/org:read権限を持つキーも見つかりました。キーから組織メンバー一覧を引ける点は攻撃者に有用な情報になり得ます。 -
ElevenLabs:
mcp.jsonにエンタープライズ級APIキーが平文で含まれていました。 -
AI50の匿名企業:削除済みフォークのHuggingFaceトークンにより、約1,000のプライベートモデルへアクセス可能だった事例を確認。さらに、Weights & BiasesのAPIキーが複数流出し、学習データに関する情報が漏れていた可能性がありました。
開示の課題
開示プロセスでは、約半数が連絡不達や無回答に終わり、公式なディスクロージャー窓口がない、返信や修正が行われないといった課題が目立ちました。一方で、速やかに受領・修正した企業も多く、温度差が鮮明になっています。
Wizの提
-
公開VCSのシークレット走査は必須です。規模の小さな証書でも漏えいは起こり得ます。
-
ディスクロージャー体制の整備を初期段階から行ってください(窓口、運用手順、SLA)。
-
自社固有トークンの検出を優先してください。新しいAIサービスのキー形式は既存ツールが未対応の場合があります。
-
人と外縁も攻撃面として扱うべきです。VCSメンバーポリシー(雇用先を示さない個人アカウントの運用、個人OrgのMFA義務化、私用活動の分離など)をオンボーディングで徹底します。
-
対象ファイルや秘密種別を継続拡張してください。モデルやMCP関連設定、実験ログ等、新たなAI開発の副産物が新しい漏えい経路になります。
参照
Exposure Report: 65% of Leading AI Companies Found with Verified Secret Leaks








