xAI 内部数据安全漏洞致 API 密钥泄露近两个月

近日，科技媒体KrebsOnSecurity报道称，埃隆·马斯克旗下的人工智能公司xAI发生了一起严重的安全事件。一名员工在GitHub平台上不慎泄露了一个API密钥，这一问题持续了近两个月之久。

法国网络安全咨询公司Seralys的”首席黑客官”菲利普·卡图雷利（Philippe Caturegli）最先在LinkedIn上披露了这一漏洞。随后，安全公司GitGuardian介入调查，其系统扫描发现该密钥能够访问xAI的多个大型语言模型（LLMs）。其中包括尚未发布的Grok聊天机器人测试版本（如grok-2.5V），以及与SpaceX和Tesla等公司相关联的定制化模型。

据KrebsOnSecurity的博文披露，GitGuardian早在3月2日就通过自动警报向涉事员工发出了警告。然而，直到4月30日直接联系xAI的安全团队后，这一问题才得到妥善解决。

值得注意的是，该密钥不仅可以访问公开版本的Grok模型，还可以触及正在研发中的”tweet-rejector”和”grok-spacex-2024-11-04″等内部私有模型。

GitGuardian的研究团队负责人卡罗尔·文克维斯特（Carole Winqwist）指出，如果攻击者利用此漏洞获得访问权限，可能会通过提示注入（prompt injection）来操纵模型行为，甚至可能植入恶意代码，对整个供应链的安全性构成严重威胁。