Компания Sysdig рассказала, ради чего чаще всего крадут ключи API провайдеров БЯМ

Запросы к провайдерам больших языковых моделей сто́ят дорого, поэтому кража ключей API здесь — распространённое явление. Компания Sysdig приводит результаты нескольких месяцев наблюдений за запросами в Amazon Bedrock. В посте в своём блоге команда исследователей компании даже упомянула российского студента, который писал дипломную работу с помощью краденых ключей API.

Сложность современных приложений выросла настолько, что сегодня для их создания приходится совмещать множество систем. Приложения общаются с разными системами через интерфейсы программирования API [application programming interface]. Часто эти системы принадлежат разным компаниям, и каждый запрос в их API может стоить денег.

Кража ключей API — один из самых распространённых негативных эффектов деятельности сетевых хулиганов. Хакеры похищают данные для доступа к сервису, чтобы затем либо самостоятельно пользоваться ресурсами без оплаты, либо перепродать эти ключи кому-нибудь ещё.

Ничего экзотичного в этом явлении нет. Подобное утверждает отчёт State of API Security 2023 Global Findings, который составили компания Traceable и организация Ponemon Institute. Как объясняет отчёт, 60 % опрошенных организаций пожаловались, что за прошедшие два года у них утекали ключи API хотя бы один раз. Более того, кражи ключей часты: из числа пожаловавшихся 74 % пострадали три или более раз.

Причины утечек банальны. Разработчики игнорируют или забывают про часто повторяемые лучшие практики: не задавать данные авторизации в API в коде, регулярно проводить ротацию ключей, мониторить использование ресурсов для выявления аномалий и грамотно разграничивать уровни доступа.

Иногда утечка ключей API помогает злоумышленникам украсть деньги. Такое приключилось в ноябре 2023 года с