xAI 内部数据安全漏洞致 API 密钥泄露近两个月

AI资讯2天前发布 ainav
1 0

近日,科技媒体KrebsOnSecurity报道称,埃隆·马斯克旗下的人工智能公司xAI发生了一起严重的安全事件。一名员工在GitHub平台上不慎泄露了一个API密钥,这一问题持续了近两个月之久。

法国网络安全咨询公司Seralys的”首席黑客官”菲利普·卡图雷利(Philippe Caturegli)最先在LinkedIn上披露了这一漏洞。随后,安全公司GitGuardian介入调查,其系统扫描发现该密钥能够访问xAI的多个大型语言模型(LLMs)。其中包括尚未发布的Grok聊天机器人测试版本(如grok-2.5V),以及与SpaceX和Tesla等公司相关联的定制化模型。

xAI 内部数据安全漏洞致 API 密钥泄露近两个月

据KrebsOnSecurity的博文披露,GitGuardian早在3月2日就通过自动警报向涉事员工发出了警告。然而,直到4月30日直接联系xAI的安全团队后,这一问题才得到妥善解决。

值得注意的是,该密钥不仅可以访问公开版本的Grok模型,还可以触及正在研发中的”tweet-rejector”和”grok-spacex-2024-11-04″等内部私有模型。

GitGuardian的研究团队负责人卡罗尔·文克维斯特(Carole Winqwist)指出,如果攻击者利用此漏洞获得访问权限,可能会通过提示注入(prompt injection)来操纵模型行为,甚至可能植入恶意代码,对整个供应链的安全性构成严重威胁。

© 版权声明

相关文章