Google Cloud COO warnt vor Shadow AI und API-Sicherheitslücken
Francis de Souza, COO von Google Cloud, sprach am Rande einer Veranstaltung in Los Angeles über die dringende Notwendigkeit, KI-Sicherheit von Beginn an in Unternehmensstrategien zu verankern. Sein zentrales Argument: „Shadow AI" – also die unkontrollierte Nutzung von Consumer-KI-Tools durch Mitarbeiter – stellt ein erhebliches Risiko dar, das durch organisationsweite Governance-Ansätze adressiert werden muss. Besonders hob er hervor, dass KI-Agenten, die durch interne Systeme navigieren, vergessene Datenrepositorys wie alte SharePoint-Server aufspüren und sensible Daten freilegen können. Als Gegenmaßnahme propagiert de Souza vollständig agentische Verteidigungssysteme, bei denen Menschen nur noch die Aufsicht übernehmen. Gleichzeitig zeigen Berichte des Register, dass Google selbst mit Sicherheitsproblemen kämpft: API-Keys, ursprünglich für Google Maps ausgestellt, wurden stillschweigend für Gemini-Modelle freigeschaltet. Entwickler wie Rod Danan (CEO von Prentus) erhielten innerhalb von 30 Minuten Rechnungen von über 10.000 US-Dollar. Sicherheitsforscher von Aikido stellten zudem fest, dass kompromittierte Keys nach ihrer Löschung noch bis zu 23 Minuten weiter missbraucht werden können. Google erstattet Kosten fallweise, plant aber keine Änderung seiner automatischen Billing-Tier-Upgrades.
- Die durchschnittliche Zeit zwischen erstem Breach und nächster Angriffsstufe ist laut de Souza von 8 Stunden auf 22 Sekunden gesunken.
- Aikido-Forscher fanden: Gelöschte Google-API-Keys bleiben bis zu 23 Minuten nach Revokation noch nutzbar.
- Entwickler Rod Danan (Prentus) erhielt innerhalb von 30 Minuten eine Rechnung über 10.138 USD nach einem API-Key-Missbrauch.
- Google hatte Billing-Obergrenzen von Nutzern automatisch auf bis zu 100.000 USD angehoben – ohne explizite Zustimmung.
- LinkedIn-CISO Lea Kissner rechnet nicht damit, dass die Branche AI-Sicherheit in den nächsten Jahren nachhaltig im Griff haben wird.
„There's no such thing as an AI strategy without a data strategy and a security strategy. They need to go hand in hand.“
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.
Verwandte Beiträge
Google Cloud COO warnt vor Shadow AI und API-Sicherheitslücken
Francis de Souza, COO von Google Cloud, sprach am Rande einer Veranstaltung in Los Angeles über die dringende Notwendigkeit, KI-Sicherheit von Beginn an in Unternehmensstrategien zu verankern. Sein zentrales Argument: „Shadow AI" – also die unkontrollierte Nutzung von Consumer-KI-Tools durch Mitarbeiter – stellt ein erhebliches Risiko dar, das durch organisationsweite Governance-Ansätze adressiert werden muss. Besonders hob er hervor, dass KI-Agenten, die durch interne Systeme navigieren, vergessene Datenrepositorys wie alte SharePoint-Server aufspüren und sensible Daten freilegen können. Als Gegenmaßnahme propagiert de Souza vollständig agentische Verteidigungssysteme, bei denen Menschen nur noch die Aufsicht übernehmen. Gleichzeitig zeigen Berichte des Register, dass Google selbst mit Sicherheitsproblemen kämpft: API-Keys, ursprünglich für Google Maps ausgestellt, wurden stillschweigend für Gemini-Modelle freigeschaltet. Entwickler wie Rod Danan (CEO von Prentus) erhielten innerhalb von 30 Minuten Rechnungen von über 10.000 US-Dollar. Sicherheitsforscher von Aikido stellten zudem fest, dass kompromittierte Keys nach ihrer Löschung noch bis zu 23 Minuten weiter missbraucht werden können. Google erstattet Kosten fallweise, plant aber keine Änderung seiner automatischen Billing-Tier-Upgrades.
- Die durchschnittliche Zeit zwischen erstem Breach und nächster Angriffsstufe ist laut de Souza von 8 Stunden auf 22 Sekunden gesunken.
- Aikido-Forscher fanden: Gelöschte Google-API-Keys bleiben bis zu 23 Minuten nach Revokation noch nutzbar.
- Entwickler Rod Danan (Prentus) erhielt innerhalb von 30 Minuten eine Rechnung über 10.138 USD nach einem API-Key-Missbrauch.
- Google hatte Billing-Obergrenzen von Nutzern automatisch auf bis zu 100.000 USD angehoben – ohne explizite Zustimmung.
- LinkedIn-CISO Lea Kissner rechnet nicht damit, dass die Branche AI-Sicherheit in den nächsten Jahren nachhaltig im Griff haben wird.
„There's no such thing as an AI strategy without a data strategy and a security strategy. They need to go hand in hand.“
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.