社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Git

xAI开发者在GitHub泄露SpaceX、特斯拉及Twitter/X专用API密钥

FreeBuf • 5 月前 • 123 次点击  


埃隆·马斯克旗下人工智能公司 xAI 发生重大安全疏漏,其开发者在 GitHub 上意外泄露了一个私有 API 密钥,该密钥在近两个月内持续处于可访问状态。


image


01

密钥泄露暴露核心模型权限


被泄露的凭证可未经授权访问专为 SpaceX、特斯拉和 Twitter/X 内部运营定制的大型语言模型(LLM),这一事件凸显出即使是知名科技公司也存在凭证安全管理的关键漏洞。

安全咨询公司 Seralys 的首席黑客官菲利普·卡图雷利最先发现该安全事件,并在 LinkedIn 上公开披露。代码仓库敏感信息检测公司 GitGuardian 随后介入调查。


02

密钥持续活跃近两个月


GitGuardian 的自动化扫描系统于 2025 年 3 月 2 日识别出该遭泄露的 API 密钥。据 KrebsOnSecurity 报道,尽管 xAI 涉事员工立即收到通知,但该密钥直到 4 月 30 日 GitGuardian 直接上报 xAI 安全团队后才被停用。


GitGuardian 的埃里克·富里耶透露,该密钥可访问"至少 60 个独立数据集",包括多个未发布的 Grok 模型开发版本。泄露的 API 凭证可查询以下私有定制模型:


  • grok-2.5V(未发布版本)

  • research-grok-2p5v-1018(开发版本)

  • grok-spacex-2024-11-04(私有版本)


泄露密钥示意图

03

开发流程漏洞成导火索


此次泄露源于开发者误将包含环境变量的配置文件(.env)提交至公开 GitHub 仓库。业内人士指出:"开发者在仓库内编写测试时,未检查就执行 git add 命令,也未将密钥文件加入忽略列表,导致大量密钥被持续推送至 GitHub"。

xAI 未就该事件公开置评,相关仓库在 GitGuardian 上报后迅速删除。卡图雷利强调:"长期存在的凭证暴露暴露出密钥管理薄弱和内部监控不足,对开发者访问权限管控和整体运营安全提出质疑"。

该事件为处理专有敏感数据的尖端 AI 公司敲响警钟,凸显健全密钥管理机制的重要性。


图片




图片

图片

图片






图片













图片




图片

图片

Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/181962
 
123 次点击