近日,科技界發生了一起涉及人工智能安全的事件,引起了廣泛關注。據知名科技媒體 KrebsOnSecurity 報道,埃隆·馬斯克旗下的人工智能公司 xAI 遭遇了一起 API 密鑰泄露事故,該事件由一名員工在 GitHub 上的疏忽操作引發,持續時間接近兩個月。
這起事故最初由法國安全咨詢公司 Seralys 的首席黑客官 Philippe Caturegli 在 LinkedIn 上揭露。隨后,安全公司 GitGuardian 介入調查,并通過其系統掃描確認了泄露的密鑰能夠訪問 xAI 的多款大型語言模型(LLMs)。這些模型包括尚未公開的 Grok 聊天機器人新版本(例如 grok-2.5V)以及專為 SpaceX、Tesla 等公司定制的模型。
據報道,GitGuardian 在 3 月 2 日就已經通過自動警報通知了涉及此事的 xAI 員工,但問題并未立即得到解決。直到 4 月 30 日,GitGuardian 直接聯系 xAI 的安全團隊后,這一安全隱患才得以消除。
泄露的密鑰不僅能讓攻擊者訪問到已經公開的 Grok 模型,還能觸及正在研發中的私有模型,如“tweet-rejector”和“grok-spacex-2024-11-04”等。這些私有模型包含了敏感信息和數據,一旦落入不法之手,后果將不堪設想。
GitGuardian 研究團隊負責人 Carole Winqwist 對此發出了警告。她表示,如果攻擊者獲得了此類訪問權限,他們可能會通過提示注入等手段操控模型,甚至在其中植入惡意代碼,從而對整個供應鏈安全構成嚴重威脅。這一事件再次凸顯了人工智能領域安全問題的緊迫性和重要性。
此次事故也引發了業界對于人工智能安全管理的深入討論。許多專家呼吁,企業在推進人工智能技術研發和應用的同時,必須高度重視安全問題,加強員工的安全意識培訓和技術防范措施,確保人工智能技術的健康發展。
