埃隆·马斯克旗下人工智能公司 xAI 发生重大安全疏漏,泄露其开发者在 GitHub 上意外泄露了一个私有 API 密钥,拉及该密钥在近两个月内持续处于可访问状态。专用
被泄露的泄露凭证可未经授权访问专为 SpaceX、特斯拉和 Twitter/X 内部运营定制的拉及大型语言模型(LLM),这一事件凸显出即使是专用知名科技公司也存在凭证安全管理的关键漏洞。
安全咨询公司 Seralys 的泄露首席黑客官菲利普·卡图雷利最先发现该安全事件,并在 LinkedIn 上公开披露。拉及代码仓库敏感信息检测公司 GitGuardian 随后介入调查。专用
密钥持续活跃近两个月GitGuardian 的香港云服务器泄露自动化扫描系统于 2025 年 3 月 2 日识别出该遭泄露的 API 密钥。据 KrebsOnSecurity 报道,拉及尽管 xAI 涉事员工立即收到通知,专用但该密钥直到 4 月 30 日 GitGuardian 直接上报 xAI 安全团队后才被停用。泄露
GitGuardian 的拉及埃里克·富里耶透露,该密钥可访问"至少 60 个独立数据集",专用包括多个未发布的 Grok 模型开发版本。泄露的 API 凭证可查询以下私有定制模型:
grok-2.5V(未发布版本)research-grok-2p5v-1018(开发版本)grok-spacex-2024-11-04(私有版本)
此次泄露源于开发者误将包含环境变量的配置文件(.env)提交至公开 GitHub 仓库。业内人士指出:"开发者在仓库内编写测试时,免费信息发布网未检查就执行 git add 命令,也未将密钥文件加入忽略列表,导致大量密钥被持续推送至 GitHub"。
xAI 未就该事件公开置评,相关仓库在 GitGuardian 上报后迅速删除。卡图雷利强调:"长期存在的凭证暴露暴露出密钥管理薄弱和内部监控不足,对开发者访问权限管控和整体运营安全提出质疑"。
该事件为处理专有敏感数据的尖端 AI 公司敲响警钟,凸显健全密钥管理机制的重要性。
(责任编辑:应用开发)
