埃隆·马斯克旗下人工智能公司 xAI 发生重大安全疏漏,其开发者在 GitHub 上意外泄露了一个私有 API 密钥,该密钥在近两个月内持续处于可访问状态。
被泄露的凭证可未经授权访问专为 SpaceX、特斯拉和 Twitter/X 内部运营定制的大型语言模型(LLM),这一事件凸显出即使是知名科技公司也存在凭证安全管理的关键漏洞。安全咨询公司 Seralys 的首席黑客官菲利普·卡图雷利最先发现该安全事件,并在 LinkedIn 上公开披露。代码仓库敏感信息检测公司 GitGuardian 随后介入调查。
GitGuardian 的自动化扫描系统于 2025 年 3 月 2 日识别出该遭泄露的 API 密钥。据 KrebsOnSecurity 报道,尽管 xAI 涉事员工立即收到通知,但该密钥直到 4 月 30 日 GitGuardian 直接上报 xAI 安全团队后才被停用。
GitGuardian 的埃里克·富里耶透露,该密钥可访问"至少 60 个独立数据集",包括多个未发布的 Grok 模型开发版本。泄露的 API 凭证可查询以下私有定制模型:
此次泄露源于开发者误将包含环境变量的配置文件(.env)提交至公开 GitHub 仓库。业内人士指出:"开发者在仓库内编写测试时,未检查就执行 git add 命令,也未将密钥文件加入忽略列表,导致大量密钥被持续推送至 GitHub"。xAI 未就该事件公开置评,相关仓库在 GitGuardian 上报后迅速删除。卡图雷利强调:"长期存在的凭证暴露暴露出密钥管理薄弱和内部监控不足,对开发者访问权限管控和整体运营安全提出质疑"。该事件为处理专有敏感数据的尖端 AI 公司敲响警钟,凸显健全密钥管理机制的重要性。
