[xAI内鬼风波：API密钥泄露两月，核心数据安全警报拉响！]

揭秘xAI内鬼事件：两月潜伏，核心数据如何在眼皮底下裸奔？

　　 5月2日消息，科技媒体KrebsOnSecurity于5月1日发布文章指出，埃隆·马斯克（Elon Musk）所创立的人工智能公司xAI的一名员工，在GitHub上不小心泄露了一枚API密钥，而这一错误已经持续了将近两个月的时间。

　　 近日，法国安全咨询公司Seralys的“首席黑客官”Philippe Caturegli在LinkedIn上首次披露了一项重大安全隐患。随后，安全公司GitGuardian通过系统扫描发现，一个泄露的密钥能够访问xAI旗下的多种大型语言模型（LLMs）。这些模型不仅涵盖了尚未正式推出的Grok聊天机器人新版本（例如grok-2.5V），还包括与SpaceX、Tesla等知名公司高度关联的定制化模型。这一事件无疑再次敲响了数据安全的警钟，尤其是在人工智能技术飞速发展的背景下，任何疏忽都可能带来难以估量的风险。 从目前的情况来看，此次密钥泄露所涉及的范围之广令人担忧。xAI作为一家专注于前沿AI研究的企业，在开发尖端技术和产品的同时，也必须更加注重基础的安全防护工作。毕竟，一旦这些敏感信息落入不法分子手中，不仅会对相关企业和用户造成直接威胁，还可能影响整个行业的信任度。因此，xAI及其合作伙伴需要迅速采取行动，彻底排查漏洞，并加强后续管理措施以防止类似事件再次发生。 此外，这也提醒我们，在享受科技进步带来的便利时，始终要保持对潜在风险的高度警惕。无论是企业还是个人，都需要不断提升自身的网络安全意识和技术能力，共同构建起一道坚固的防线。只有这样，才能让科技真正造福于人类社会。

　　 援引博文介绍，GitGuardian 早在 3 月 2 日就通过自动警报通知了涉事 xAI 员工，但直到 4 月 30 日直接联系 xAI 安全团队后，问题才得以解决。

　　 该密钥不仅可以用于访问公开的Grok系列模型，还能够解锁正在研发中的“tweet-rejector”以及“grok-spacex-2024-11-04”等私有模型。

　　 GitGuardian研究团队负责人Carole Winqwist提醒，若攻击者获得相关权限，可能利用提示注入手段控制模型运行，甚至嵌入恶意代码，对供应链安全构成严重威胁。