Il furto di segreti è l'accesso non autorizzato a dati sensibili archiviati su un sistema, come password, token API, chiavi private, cookie di sessione o credenziali cloud. Gli aggressori cercano questi segreti perché possono sbloccare account, firmare richieste, decifrare dati o muoversi lateralmente senza attivare immediatamente allarmi evidenti.
In pratica, il furto di segreti avviene spesso dopo un accesso iniziale. Malware, una sessione utente compromessa o uno strumento di automazione rischioso possono cercare credenziali in file di configurazione, variabili di ambiente, archivi di chiavi, cache del browser o strumenti di sviluppo. Una volta sottratti, i segreti vengono usati per impersonare utenti o servizi fidati, il che rende il rilevamento più difficile rispetto al blocco di un semplice tentativo di accesso. I difensori riducono il rischio con il principio del privilegio minimo, la rotazione dei segreti, l'archiviazione delle chiavi supportata da hardware e il monitoraggio di letture di file insolite o connessioni in uscita. Negli ambienti ospitati da IA, la telemetria di runtime può anche rivelare quando un agente tocca percorsi sensibili o accede a segreti al di fuori del compito assegnato.