Un bancone dal sapore vintage, ispirato all’estetica dei locali anni ’60 e ’70, diventa il palcoscenico ideale per progettare l’imprenditoria di domani. È questa l’anima di Bar Futuro, il vodcast di HEY ITALIA, l’ecosistema creato da EY per valorizzare e raccontare le eccellenze del nostro Paese. Il format mette al centro l’evoluzione delle aziende italiane, esplorando l’impatto dirompente dell’Intelligenza Artificiale, la visione d’impresa e i complessi passaggi generazionali.

A guidare questo salotto, che unisce sapientemente memoria e futuro, troviamo la conduzione giornalistica di Mary De Gennaro, affiancata dalle analisi di Giuseppe Perrone, Partner EY e AI & Data Leader Italy, che interpreta le storie degli ospiti attraverso la lente tecnologica.

Un dialogo costruttivo che si chiude sempre con un rito fortemente simbolico: il dono di una Moka, un omaggio alla tradizione e un augurio affinché ogni imprenditore trovi la propria “miscela del successo”.

In questa puntata la protagonista è Flavia Sciannandrone, CEO di SIMEST, Gruppo Cassa Depositi e Prestiti. Al centro della puntata c’è il ruolo strategico che innovazione, trasformazione digitale e internazionalizzazione giocano per la crescita delle imprese italiane.

Sciannandrone analizza come i finanziamenti mirati e le competenze digitali siano ormai strumenti imprescindibili. L’obiettivo è duplice: da un lato rendere le PMI italiane sempre più competitive sui mercati globali, dall’altro utilizzare la tecnologia e l’AI per velocizzare i processi pubblici.

“Dobbiamo essere rapidi a dare fondi laddove servono in vista della prossima sfida che è il giorno dopo e su questo l’AI è un alleato pazzesco delle nostre risorse interne.”

---

---

 

L’articolo Bar Futuro: Flavia Sciannandrone lancia le PMI nel domani è tratto da Forbes Italia.

In Germania è stato approvato un nuovo farmaco botanico derivato dalla marijuana per il trattamento del dolore cronico, inaugurando un nuovo futuro per le applicazioni mediche della cannabis. Alla fine di maggio, l’Istituto federale tedesco per i farmaci e i dispositivi medici, simile a quello statunitense Food and Drug Administration, ha concesso l’autorizzazione all’immissione in commercio per Exilby, una tintura orale derivata dalla marijuana prodotta dalla società farmaceutica tedesca Vertanical. Si prevede che Exilby arriverà sul mercato questo autunno.

Diventare leader per il dolore cronico in Ue

“È stata una lotta molto, molto dura”, afferma Clemens Fischer, 50 anni, ceo miliardario e cofondatore di Vertanical. “Siamo la prima azienda al mondo che ha ripetutamente dimostrato che il nostro farmaco, il nostro estratto, funziona meglio del placebo e meglio degli oppioidi.”

Exilby è il primo farmaco derivato dalla cannabis specificamente approvato per il trattamento del dolore cronico. Il mercato è potenzialmente enorme: ogni anno in Germania vengono prescritte circa 20 milioni di prescrizioni di oppioidi, con un numero di potenziali pazienti compreso tra 6 e 7 milioni. L’anno scorso, durante gli studi clinici condotti in Europa, si è scoperto che Exilby è più efficace degli oppioidi e del placebo. Exilby ha ottenuto l’autorizzazione all’immissione in commercio anche in Austria e l’azienda ne farà richiesta nel Regno Unito e in tutta l’Unione Europea.

L’obiettivo di Fischer è che diventi il farmaco leader per il dolore cronico nell’Ue, sostituendo le prescrizioni di oppioidi, che creano forte dipendenza, a differenza di Exilby. “Vogliamo davvero sostituire gli oppioidi; (Exilby) è una nuova classe,” afferma Fischer. “Vogliamo avere almeno una quota del 10% del mercato degli oppioidi. Penso che sia più che realistico.”

L’obiettivo finale di Vertanical è far approvare il suo farmaco negli Stati Uniti, che ospitano un mercato ancora più grande, dove ogni anno vengono prescritte circa 120 milioni di prescrizioni di oppioidi e l’epidemia di oppioidi ha causato 44.564 vittime lo scorso anno. A maggio, la Fda ha concesso a Vertanical la designazione di terapia rivoluzionaria per il suo farmaco sperimentale. Si prevede che l’azienda avvierà la fase III delle sperimentazioni cliniche negli Stati Uniti quest’estate. Se approvato negli Stati Uniti, Exilby diventerà probabilmente un farmaco di successo grazie al fatto che il 24% degli adulti americani riferisce dolore cronico, secondo il Cdc.

“Il mercato statunitense è di gran lunga il mercato più importante ed è quello in cui la domanda dovrebbe essere più alta ai nostri occhi e in base alle esigenze del paziente”, afferma Fischer.

L’idea di Fischer per la valorizzazione dell’industria della cannabis

Fischer, ex medico, è un imprenditore farmaceutico seriale, nato a Weilheim, in Germania, e attualmente gestisce un mini-impero attraverso il Gruppo Futrue, una holding con sede a Monaco con un insieme di circa 20 aziende farmaceutiche e di ricerca e sviluppo. Negli ultimi due decenni ha fondato e venduto una serie di aziende nel settore dei farmaci da banco e degli integratori, che spaziano dagli ausili per il sonno ai trattamenti per la sindrome dell’intestino irritabile, accumulando una fortuna di 1 miliardo di dollari. 

Nel 2017, Fischer stava leggendo notizie sulla fiorente industria della cannabis negli Stati Uniti e qualcosa attirò la sua attenzione: i pazienti affetti da marijuana terapeutica la usavano per curare il dolore cronico. Fece un viaggio in California e Nevada e incontrò più di una dozzina di aziende per fare ricerche e scoprire i migliori metodi di coltivazione e cercò ceppi che potessero essere efficaci nella gestione del dolore. Tornato in Europa, Fischer ordinò 500 semi di marijuana e trasformò una serra danese costruita per coltivare rose in un vivaio di cannabis di 215.000 piedi quadrati e si mise al lavoro sulla fenohunting, un termine che gli allevatori di marijuana usano per trovare la miglior coltivazione per uno scopo specifico, che si tratti di lapidare o medicare qualcuno.

Fischer ha scoperto un ceppo da lui chiamato DKJ-127, ricco di THC, CBD e un altro cannabinoide chiamato CBN, noto soprattutto come sonnifero. Vertanical ha ottenuto brevetti negli Stati Uniti e in tutto il mondo per questo ceppo e il suo utilizzo specifico nel trattamento del dolore cronico e ritiene che alla fine l’azienda sarà la sua impresa di maggior successo. Fischer ha investito più di 300 milioni di dollari di tasca propria in Vertanical, insieme alla sua socia in affari Madlena Hohlefelder. 

La dipendenza da oppioidi negli Stati Uniti

Dopo che farmaci approvati dalla Fda come l’OxyContin, prodotto da Purdue Pharma, hanno alimentato l’epidemia di oppioidi negli Stati Uniti, i professionisti medici sono alla ricerca di un’opzione migliore—un efficace antidolorifico senza rischi di dipendenza, overdose e morte. Journavx, un farmaco non oppioide che attenua i segnali del dolore inviati al cervello, è stato approvato dalla Fda per il dolore acuto nel gennaio 2025. Vertex, il produttore del farmaco, ha registrato vendite per 59,6 milioni di dollari durante il suo primo anno sul mercato. Anche Viatris, con sede in Pennsylvania, sta cercando di far approvare dalla Fda il suo farmaco antidolorifico, Meloxicam.

Secondo Precedence Research, il mercato statunitense degli oppioidi vale circa 20 miliardi di dollari di vendite annuali, il che significa che ci sono molte opportunità per i farmaci alternativi. Negli Stati Uniti esistono più prescrizioni individuali per il dolore acuto, ma il dolore cronico rappresenta un mercato più ampio. Ai pazienti affetti da dolore cronico vengono prescritti farmaci per un periodo molto più lungo, a dosi più elevate, con conseguente aumento del fatturato per paziente. Keonhee Kim, analista di Morningstar che si occupa delle aziende farmaceutiche che producono oppioidi, afferma che “anche una piccola quota (del mercato) potrebbe essere significativa”.

Il beneficio sociale di un trattamento efficace e non oppioide per il dolore cronico non può essere sopravvalutato. Caleb Alexander, professore di epidemiologia e medicina presso la John Hopkins Bloomberg School of Public Health, afferma che i benefici di un farmaco come Exilby dipenderanno tutti dal modo in cui verrà utilizzato, il che richiederà del tempo una volta che i pazienti inizieranno a ricevere la prescrizione.

“È un prodotto da tenere d’occhio attentamente, è il primo della categoria, un farmaco innovativo”, afferma Alexander, che non è coinvolto in Vertanical né nelle sue sperimentazioni cliniche. “Potrebbe essere un altro strumento nella cassetta degli attrezzi. Il dolore rimane una condizione devastante per milioni di americani e abbiamo imparato a nostre spese che nella maggior parte dei casi gli oppioidi non sono la soluzione.”

L’impegno per trasformare la marijuana in un medicinale

Vertanical non è l’unica azienda a impegnarsi per trasformare la marijuana in un medicinale approvato dalla Fda. Gli Stanley Brothers, noti per aver reso popolare il Cbd con la loro innovativa azienda Charlotte’s Web dieci anni fa, stanno attualmente sviluppando un farmaco derivato dalla canapa per trattare diversi sintomi associati all’autismo. La tintura botanica di Cbd e Thc, estratta da un ceppo brevettato di piante di canapa Charlotte’s Web, ha superato gli studi di Fase I della Fda ed è stata autorizzata a entrare nella Fase II per studiare l’efficacia e gli effetti collaterali del farmaco lo scorso anno. (In genere, solo il 33% dei farmaci supera gli studi di fase II.)

Come per il farmaco sperimentale degli Stanley Brothers, anche Exilby di Vertanical sta seguendo il percorso dei farmaci botanici della Fda, il che significa che è interamente derivato dalla pianta e non un farmaco sintetico a molecola singola, come la maggior parte dei prodotti farmaceutici sul mercato. Con il via libera all’avvio della sperimentazione di fase III negli Stati Uniti, Vertanical entrerà ora nella parte più impegnativa del processo, che monitora le reazioni avverse e l’efficacia in una popolazione di pazienti più ampia. Storicamente, oltre il 70% dei farmaci fallisce nella Fase III.

I farmaci botanici possono spesso essere più difficili da ottenere l’approvazione rispetto ai farmaci a molecola singola a causa dell’enorme numero di composti attivi nelle piante. Exilby, ad esempio, contiene più di 100 composti. Attualmente esistono solo quattro farmaci botanici approvati dalla Fda, tra cui le sinecatechine, una crema topica per le verruche genitali ricavata dalle foglie di tè verde e commercializzata con il nome di Veregen.

Tuttavia, trasformare i composti attivi della marijuana in medicinali non è un compito impossibile. Nel 1985 la Fda approvò il Marinol, una forma sintetica di Thc chiamata dronabinol, per i pazienti affetti da cancro e Aids. Si stima che le vendite di Marinol ammontino a circa 250 milioni di dollari all’anno. L’attuale prodotto di successo derivato dalla cannabis è Epidiolex, una tintura di Cbd approvata dalla Fda per bambini e adulti affetti dalla sindrome di Lennox-Gastaut, dalla sindrome di Dravet e da altri rari disturbi epilettici. Con una piccola popolazione di pazienti che si aggira intorno alle 100.000 persone in tutto il mondo, Epidiolex, di proprietà della irlandese Jazz Pharmaceuticals, è riuscita a superare 1 miliardo di dollari di vendite lo scorso anno.

Fischer ritiene che se Exilby venisse approvato negli Stati Uniti, la sua vendita supererebbe di gran lunga quella di Epidiolex. “Hanno solo poche migliaia di pazienti nel mondo, giusto? In confronto, quanti pazienti conosci con mal di schiena cronico?” dice. “La nostra popolazione di pazienti è qualche centinaio di volte più numerosa della loro.”

Fischer è anche fortunato che il governo federale abbia ufficialmente cambiato il suo atteggiamento nei confronti della cannabis. Ad aprile, il Dipartimento di Giustizia ha riclassificato la marijuana terapeutica da una droga vietata di Tabella I —insieme all’eroina e all’Lsd— a una droga di Tabella III, una categoria molto meno restrittiva che include steroidi, ketamina e Tylenol con codeina. Questo movimento potrebbe segnalare che la Fda sarà più ricettiva nei confronti dei farmaci contenenti cannabinoidi.

Peter Grinspoon, medico di base presso il Massachusetts General Hospital e docente di medicina presso la Harvard Medical School, afferma che riprogrammare la cannabis renderà probabilmente più semplice superare la procedura della Fda.
“Penso che sia una cosa estremamente importante perché il 90% degli americani è favorevole all’accesso legale alla marijuana terapeutica”, afferma Grinspoon, specializzato in cannabis terapeutica da oltre 25 anni e che ha recentemente pubblicato un libro, Aging Well With Cannabis. “Molte persone si sentono molto più a loro agio nell’ottenerlo dal proprio medico e si sentono molto più a loro agio se è confezionato come medicinale.”

L’obiettivo audace e impossibile di Fischer è quello di inaugurare un “mondo libero dal dolore cronico” che, a suo dire, crede di poter raggiungere. Ma si accontenterà di creare una nuova classe di farmaci che diventerà un successo.
“Ho speso tutti i miei soldi,” dice Fischer. “Non esiste un piano b per me; devo farlo avere successo.”

L’articolo La storia del primo antidolorifico al mondo a base di cannabis. E del miliardario tedesco che lo ha ideato è tratto da Forbes Italia.

A Labour Party deputy who spent years in opposition, he criticized Conservatives and members of his own party, and was at the heart of major political moments.

© Fox Photos/Hulton Archive, via Getty Images

A Labour Party deputy who spent years in opposition, he criticized Conservatives and members of his own party, and was at the heart of major political moments.

© Fox Photos/Hulton Archive, via Getty Images

On a roll or against a wall, Group of 7 leaders bring sharply different agendas. The leaders of some other nations are also attending to press their own interests.

© Pool photo by Thibault Camus

The longtime over-the-air telecast will no longer be free after the national broadcaster, and Rogers Sportsnet, the N.H.L. rights-holder, could not agree on a sub-licensing deal.

© Todd Korol for The New York Times

On a roll or against a wall, Group of 7 leaders bring sharply different agendas. The leaders of some other nations are also attending to press their own interests.

© Pool photo by Thibault Camus

On a roll or against a wall, Group of 7 leaders bring sharply different agendas. The leaders of some other nations are also attending to press their own interests.

© Pool photo by Thibault Camus

In a country where the housing market is squeezed, decommissioned electrical substations are in demand as refurbished residences.

© Adam Ferguson for The New York Times

In a country where the housing market is squeezed, decommissioned electrical substations are in demand as refurbished residences.

© Adam Ferguson for The New York Times

Democrats demanded an immediate briefing and even Republicans conceded they had no information on an agreement the administration has declined to release.

© Michael A. McCoy for The New York Times

Elon Musk continua con la sua blasfemia, affermando che le sue interfacce cervello-macchina daranno alle persone "superpoteri cibernetici" e realizzeranno "miracoli a livello di Gesù".Avete capito cosa dice l'ashkenazita Muskio? Con il suo biochip impiantato nel cervello (ammesso che riescano a trovarlo, l'encefalo) non potrai più fare il bagno al mare, perché ci camminerai sopra.Attenzione, ...continua a leggere "IA e i demoni della tecnologia"

President Trump has long been at odds with European leaders over trade, Ukraine and NATO, but he has lashed out in recent weeks over their refusal to support the U.S. war with Iran.

© Eric Lee for The New York Times

It’s finally the Knicks’ time. But the five-decade title drought, full of both joy and pain, was all some devoted fans were ever able to experience.

© Geoff Burke/Imagn Images, via Reuters

A bitterly fought Democratic primary in New York’s Hudson Valley will determine who takes on Representative Mike Lawler, one of the more vulnerable Republicans this cycle.

© Ryan Murphy for The New York Times

Nominating Mr. Blanche to be the nation’s top law enforcement officer crosses a red line, and the Senate needs to defeat him.

© Ethan Noah Roy

Mr. Trump backed Mr. Collins over Derek Dooley, a former football coach supported by Gov. Brian Kemp, a Republican whose relationship with the president is strained.

© Audra Melton for The New York Times

Microsoft today released software updates to plug nearly 200 security holes across its Windows operating systems and supported software, a record number of fixes for the company’s monthly Patch Tuesday cycle. Nearly three dozen of those bugs earned Microsoft’s most dire “critical” rating, and exploit code for at least three of the weaknesses is now publicly available.

The software giant said in a blog post last month that both its engineers and the security community are increasing using artificial intelligence tools to find bugs, meaning this month’s heavy Patch Tuesday may start to become the norm, said Satnam Narang, senior staff research engineer at Tenable.

“Some surveys put AI usage among security professionals generally at 90%, so it’s unsurprising that this volume of patches may be the norm,” Narang said. “Pandora’s proverbial box has been opened, and as more advanced AI models become available, we expect the norm to continue upward across the board, not just for Patch Tuesday.”

June’s zero-day bugs include CVE-2026-49160, a denial of service vulnerability affecting a range of web servers, including Microsoft Internet Information Services (IIS). Microsoft says the flaw was reported by OpenAI’s Codex.

Two of the zero-days addressed this month appear to stem from recent vulnerability disclosures by Nightmare Eclipse, the nickname chosen by a security researcher who has been dropping exploits for various Windows flaws. One of those, dubbed “GreenPlasma,” leverages an elevation of privilege weakness in the Windows Collaborative Translation Framework, the same framework patched today in CVE-2026-45586.

Nightmare Eclipse also last month released “YellowKey,” an exploit for a Windows BitLocker vulnerability that allows an attacker with physical access to view encrypted data, and CVE-2026-50507 is a patch for an elevation of privilege bug in BitLocker.

Microsoft received heavy blowback on social media last month after it said in a blog post that it was considering taking legal action against the security researcher. The company later clarified on Twitter/X that while it has no intention of pursuing legal actions against researchers, it would report them to authorities if they break the law. The advisories for CVE-2026-49160 and CVE-2026-50507 do not credit any researchers in the acknowledgement section, saying only that “Microsoft recognizes the efforts of those in the security community who help us protect customers through coordinated vulnerability disclosure.”

Nightmare Eclipse claims to be a former employee of Microsoft, although Microsoft has not responded to questions about this claim. Rapid7 notes that a recent blog post by Nightmare Eclipse included an image of Albert Wesker, a character from the Resident Evil video game series who formerly worked as a researcher for a technology company before going rogue.

Nightmare Eclipse has pledged to release even more zero-day exploits for Windows in what they called a “bone shattering” drop planned for July 14 (the same day as next month’s Patch Tuesday). Immediately following the release of Microsoft patches today, the researcher published an exploit for what they claimed was a zero-day bug in Windows Defender.

While 200 vulnerabilities may be a record for Patch Tuesday, the actual number of security flaws Microsoft addressed this month is far higher, said Rapid7’s Adam Barnett.

“So far this month, Microsoft has provided patches to address 360 browser vulnerabilities, which is an order of magnitude more than has been typical in any given month over the past few years,” Barnett wrote. “As usual, browser [flaws] are not included in the Patch Tuesday count above. Indeed, the vast, and presumably sustained, uptick in the number of browser vulnerabilities has led to Microsoft no longer enumerating Chromium CVEs in the Security Update Guide.”

Microsoft also patched a zero-day vulnerability in Visual Studio Code that allows attackers to steal GitHub tokens with a single click. The company was forced to push a stopgap fix for the flaw on June 3, after a researcher published instructions showing how to exploit it. The researcher said they opted not to work with Microsoft because of a recent experience wherein Redmond silently patched a flaw they reported without offering credit or recognition.

Microsoft battled its own internal zero-day emergencies last week, after at least 72 of the company’s public code repositories were infected with a variant of the Shai-Hulud worm. Researchers found that all of the affected packages were connected to Microsoft official Azure Durable Task SDK, which got hit by the same Shai-Hulud worm in May.

Other major software makers are also shipping outsized update bundles this month. Adobe has released updates to fix a massive number of critical vulnerabilities across a range of products, including Adobe Experience Manager, Acrobat Reader and Cold Fusion. On June 3, Google resolved a whopping 429 vulnerabilities in its latest Chrome browser update (Chrome automatically downloads updates but installing them usually requires a complete restart of the browser).

As ever, please consider backing up your data before applying operating system updates, and drop a note in the comments if you run into any problems with this month’s patches.

Further reading:

Microsoft’s Security Update Guide

Action1’s Patch Tuesday breakdown

SANS Internet Storm Center notes on Patch Tuesday

Lawmakers in both houses of Congress are demanding answers from the U.S. Cybersecurity & Infrastructure Security Agency (CISA) after KrebsOnSecurity reported this week that a CISA contractor intentionally published AWS GovCloud keys and a vast trove of other agency secrets on a public GitHub account. The inquiry comes as CISA is still struggling to contain the breach and invalidate the leaked credentials.

On May 18, KrebsOnSecurity reported that a CISA contractor with administrative access to the agency’s code development platform had created a public GitHub profile called “Private-CISA” that included plaintext credentials to dozens of internal CISA systems. Experts who reviewed the exposed secrets said the commit logs for the code repository showed the CISA contractor disabled GitHub’s built-in protection against publishing sensitive credentials in public repos.

CISA acknowledged the leak but has not responded to questions about the duration of the data exposure. However, experts who reviewed the now-defunct Private-CISA archive said it was originally created in November 2025, and that it exhibits a pattern consistent with an individual operator using the repository as a working scratchpad or synchronization mechanism rather than a curated project repository.

In a written statement, CISA said “there is no indication that any sensitive data was compromised as a result of the incident.” But in a May 19 a letter (PDF) to CISA’s Acting Director Nick Andersen, Sen. Maggie Hassan (D-NH) said the credential leak raises serious questions about how such a security lapse could occur at the very agency charged with helping to prevent cyber breaches.

“This reporting raises serious concerns regarding CISA’s internal policies and procedures at a time of significant cybersecurity threats against U.S. critical infrastructure,” Sen. Hassan wrote.

Sen. Hassan noted that the incident occurred against the backdrop of major disruptions internally at CISA, which lost more than a third of it workforce and almost all of its senior leaders after the Trump administration forced a series of early retirements, buyouts, and resignations across the agency’s various divisions.

Rep. Bennie Thompson (D-MS), the ranking member on the House Homeland Security Committee, echoed the senator’s concerns.

“We are concerned that this incident reflects a diminished security culture and/or an inability for CISA to adequately manage its contract support,” Thompson wrote in a May 19 letter to the acting CISA chief that was co-signed by Rep. Delia Ramirez (D-Ill), the ranking member of the panel’s Subcommittee on Cybersecurity and Infrastructure Protection. “It’s no secret that our adversaries — like China, Russia, and Iran — seek to gain access to and persistence on federal networks. The files contained in the ‘Private-CISA’ repository provided the information, access, and roadmap to do just that.”

KrebsOnSecurity has learned that more a week after CISA was first notified of the data leak by the security firm GitGuardian, the agency is still working to invalidate and replace many of the exposed keys and secrets.

On May 20, KrebsOnSecurity heard from Dylan Ayrey, the creator of TruffleHog, an open-source tool for discovering private keys and other secrets buried in code hosted at GitHub and other public platforms. Ayrey said CISA still hadn’t invalidated an RSA private key exposed in the Private-CISA repo that granted access to a GitHub app which is owned by the CISA enterprise account and installed on the CISA-IT GitHub organization with full access to all code repositories.

“An attacker with this key can read source code from every repository in the CISA-IT organization, including private repos, register rogue self-hosted runners to hijack CI/CD pipelines and access repository secrets, and modify repository admin settings including branch protection rules, webhooks, and deploy keys,” Ayrey told KrebsOnSecurity. CI/CD stands for Continuous Integration and Continuous Delivery, and it refers to a set of practices used to automate the building, testing and deployment of software.

KrebsOnSecurity notified CISA about Ayrey’s findings on May 20. Ayrey said CISA appears to have invalidated the exposed RSA private key sometime after that notification. But he noted that CISA still hasn’t rotated leaked credentials tied to other critical security technologies that are deployed across the agency’s technology portfolio (KrebsOnSecurity is not naming those technologies publicly for the time being).

CISA responded with a brief written statement in response to questions about Ayrey’s findings, saying “CISA is actively responding and coordinating with the appropriate parties and vendors to ensure any identified leaked credentials are rotated and rendered invalid and will continue to take appropriate steps to protect the security of our systems.”

Ayrey said his company Truffle Security monitors GitHub and a number of other code platforms for exposed keys, and attempts to alert affected accounts to the sensitive data exposure(s). They can do this easily on GitHub because the platform publishes a live feed which includes a record of all commits and changes to public code repositories. But he said cybercriminal actors also monitor these public feeds, and are often quick to pounce on API or SSH keys that get inadvertently published in code commits.

In practical terms, it is likely that cybercrime groups or foreign adversaries also noticed the publication of these CISA secrets, the most egregious of which appears to have happened in late April 2026, Ayrey said.

“We monitor that firehose of data for keys, and we have tools to try to figure out whose they are,” he said. “We have evidence attackers monitor that firehose as well. Anyone monitoring GitHub events could be sitting on this information.”

James Wilson, the enterprise technology editor for the Risky Business security podcast, said organizations using GitHub to manage code projects can set top-down policies that prevent employees from disabling GitHub’s protections against publishing secret keys and credentials. But Wilson’s co-host Adam Boileau said it’s not clear that any technology could stop employees from opening their own personal GitHub account and using it to store sensitive and proprietary information.

“Ultimately, this is a thing you can’t solve with a technical control,” Boileau said on this week’s podcast. “This is a human problem where you’ve hired a contractor to do this work and they have decided of their own volition to use GitHub to synchronize content from a work machine to a home machine. I don’t know what technical controls you could put in place given that this is being done presumably outside of anything CISA managed or even had visibility on.”

Update, 3:05 p.m. ET: Added statement from CISA. Corrected a date in the story (Truffle Security said it found the repo gained some of its most sensitive secrets in late April 2026, not 2025).