近日,科技界发生了一起涉及人工智能安全的事件,引起了广泛关注。据知名科技媒体 KrebsOnSecurity 报道,埃隆·马斯克旗下的人工智能公司 xAI 遭遇了一起 API 密钥泄露事故,该事件由一名员工在 GitHub 上的疏忽操作引发,持续时间接近两个月。
这起事故最初由法国安全咨询公司 Seralys 的首席黑客官 Philippe Caturegli 在 LinkedIn 上揭露。随后,安全公司 GitGuardian 介入调查,并通过其系统扫描确认了泄露的密钥能够访问 xAI 的多款大型语言模型(LLMs)。这些模型包括尚未公开的 Grok 聊天机器人新版本(例如 grok-2.5V)以及专为 SpaceX、Tesla 等公司定制的模型。
据报道,GitGuardian 在 3 月 2 日就已经通过自动警报通知了涉及此事的 xAI 员工,但问题并未立即得到解决。直到 4 月 30 日,GitGuardian 直接联系 xAI 的安全团队后,这一安全隐患才得以消除。
泄露的密钥不仅能让攻击者访问到已经公开的 Grok 模型,还能触及正在研发中的私有模型,如“tweet-rejector”和“grok-spacex-2024-11-04”等。这些私有模型包含了敏感信息和数据,一旦落入不法之手,后果将不堪设想。
GitGuardian 研究团队负责人 Carole Winqwist 对此发出了警告。她表示,如果攻击者获得了此类访问权限,他们可能会通过提示注入等手段操控模型,甚至在其中植入恶意代码,从而对整个供应链安全构成严重威胁。这一事件再次凸显了人工智能领域安全问题的紧迫性和重要性。
此次事故也引发了业界对于人工智能安全管理的深入讨论。许多专家呼吁,企业在推进人工智能技术研发和应用的同时,必须高度重视安全问题,加强员工的安全意识培训和技术防范措施,确保人工智能技术的健康发展。
