Kiszivárgott SpaceX, Tesla, X API kulcsok
A KrebsOnSecurity jelentése szerint egy xAI fejlesztő véletlenül nyilvánosságra hozott egy API-kulcsot a GitHubon, amely két hónapon keresztül hozzáférést biztosított több mint 60 belső, finomhangolt nagy nyelvi modellhez (LLM), köztük olyanokhoz, amelyek a SpaceX, Tesla és Twitter/X belső adataira épültek.
Philippe Caturegli, a Seralys biztonsági tanácsadó cég chief hacking officer-e fedezte fel az API-kulcsot egy xAI fejlesztő nyilvános GitHub-repozitóriumában. A GitGuardian szerint a kulcs hozzáférést biztosított többek között a nyilvános Grok modellekhez (pl. grok-2-1212), valamint kiadatlan (grok-2.5V), fejlesztés alatt álló (research-grok-2p5v-1018) és privát modellekhez (tweet-rejector, grok-spacex-2024-11-04). A GitGuardian március 2-án értesítette az xAI alkalmazottját a szivárgásról, de április 30-ig a kulcs továbbra is érvényes volt. Csak azután, hogy a GitGuardian közvetlenül az xAI biztonsági csapatát is értesítette, távolították el a kulcsot tartalmazó repo-t.
A szivárgás lehetőséget adott arra, hogy illetéktelenek hozzáférjenek a Grok modellekhez, amelyek érzékeny vállalati adatokon alapulnak. Carole Winqwist, a GitGuardian marketingvezetője szerint a támadók kihasználhatták volna ezt a hozzáférést prompt injection támadásokra, a modellek manipulálására vagy kártékony kód beillesztésére az ellátási láncba.
A szivárgás időzítése különösen aggasztó, mivel az Elon Musk által vezetett Department of Government Efficiency (DOGE) éppen érzékeny kormányzati adatokat integrál mesterséges intelligencia eszközökbe. A The Washington Post és a Reuters jelentései szerint a DOGE több szövetségi ügynökségnél is AI-t alkalmaz az adatok elemzésére és a kormányzati működés hatékonyságának növelésére.
