今天小編分享的科技經驗:xAI員工失誤洩露 API 密鑰近 2 個月,内部AI模型數據安全亮紅燈,歡迎閱讀。
IT 之家 5 月 2 日消息,科技媒體 KrebsOnSecurity 昨日(5 月 1 日)發布博文,報道稱埃隆・馬斯克(Elon Musk)旗下人工智能公司 xAI 的一名員工在 GitHub 上,無意洩露了一枚 API 密鑰,這一失誤持續了近兩個月。
來自法國安全咨詢公司 Seralys 的 " 首席黑客官 "Philippe Caturegli 率先在 LinkedIn 上曝光了這一問題,安全公司 GitGuardian 随後介入,其系統掃描發現該密鑰可訪問 xAI 的多款大型語言模型(LLMs),其中包括尚未發布的 Grok 聊天機器人版本(如 grok-2.5V)和與 SpaceX、Tesla 等公司數據相關的定制模型。
IT 之家援引博文介紹,GitGuardian 早在 3 月 2 日就通過自動警報通知了涉事 xAI 員工,但直到 4 月 30 日直接聯系 xAI 安全團隊後,問題才得以解決。
該密鑰不僅能訪問公開的 Grok 模型,還能觸及研發中的 "tweet-rejector" 和 "grok-spacex-2024-11-04" 等私有模型。
GitGuardian 研究團隊負責人 Carole Winqwist 警告,攻擊者若獲取此類訪問權限,可能通過提示注入(prompt injection)操控模型,甚至植入惡意代碼,威脅整個供應鏈安全。