Elon Musk’un Yapay Zeka Girişiminde bir çalışan Xai, GitHub’da, SpacerX, Tesla ve Twitter/X ile bağlantılı tescilli büyük dil modellerini (LLMS) ortaya çıkaran hassas bir API anahtarını yanlışlıkla açıkladı.
Siber güvenlik uzmanları, sızıntının iki ay boyunca aktif kaldığını tahmin ederek yabancılara Musk’ın amiral gemisi şirketlerinden iç verilerle tasarlanmış son derece gizli AI sistemlerine erişme ve sorgulama yeteneği sunuyor.
Sızıntı ilk olarak Seralys’teki “Baş Hacking Memuru” Philippe Cathergli, XAI’daki bir teknik personele ait bir GitHub deposunda bir XAI uygulama programlama arayüzü için tehlikeye atılmış kimlik bilgilerini işaretlediğinde ortaya çıktı.
.png
)
Catergli’nin LinkedIn hakkındaki duyurusu, kod tabanlarındaki maruz kalan sırların otomatik olarak tespitinde uzmanlaşmış bir firma olan Gitguardian’ın gözünü hızla yakaladı.
GitGuardian’ın kurucu ortağı Eric Fourrier, KrebSonsecurity’de açıkta kalan API anahtarının yayınlanmamış ve özel modeller de dahil olmak üzere en az 60 ince ayarlı LLM’ye erişimi olduğunu söyledi.
Bunlar, Xai’nin Grok chatbot’unun gelişen gelişen sürümlerinin yanı sıra SpaceX ve Tesla verilerinde ince ayarlanmış özel modeller, “GroK-Spacex-2024-11-04” ve “Tweet Keepçisi” gibi özel modeller.
GitGuardian, “Kimlik bilgileri, XAI API’sına orijinal kullanıcıya verilen tüm ayrıcalıklarla erişmek için kullanılabilir” dedi.
“Bunlar sadece halka açık GROK modellerini değil, aynı zamanda en son, yayınlanmamış ve dahili araçları asla dış gözler için anlamıyordu.”
2 Mart’ta XAI çalışanına gönderilen otomatik bir uyarıya rağmen, kimlik bilgileri Gitguardian’ın sorunu doğrudan Xai’nin güvenlik ekibine götürdüğü en az 30 Nisan’a kadar geçerli ve aktif kaldı.
Bir saat sonra, rahatsız edici Github deposu sessizce kaldırıldı.
Gitguardian’ın baş pazarlama görevlisi Carole Winqwist, bu tür erişime sahip rakiplerin bu dil modellerini hızlı enjeksiyon saldırıları veya hatta AI’nın operasyonel tedarik zincirine ekleme kodu dahil olmak üzere kötü niyetli amaçlar için manipüle edebileceği veya sabote edebileceği konusunda uyardı.
Winqwist, “Özel LLM’lere ücretsiz erişim felaket için bir tarif” dedi.
Sızıntı ayrıca hassas verilerin AI araçlarıyla entegrasyonu ile ilgili artan endişeleri de vurgulamaktadır.
Son raporlar, Musk’ın Hükümet Verimliliği Bakanlığı (DOGE) ve diğer ajansların federal verileri AI’ya beslediğini ve daha geniş güvenlik riskleri hakkında sorular sorduğunu göstermektedir.
Maruz kalan API anahtarı aracılığıyla federal veya kullanıcı verilerinin ihlal edildiğine dair doğrudan bir kanıt olmasa da, Catergli olayın ciddiyetinin altını çiziyor: “Bu gibi uzun ömürlü kimlik bilgisi maruziyetleri, zayıf anahtar yönetimi ve zayıf iç izleme, dünyanın en değerli teknoloji şirketlerinde operasyonel güvenlik hakkında alarmlar ortaya çıkarıyor.”
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!