VN
VN
Giới Thiệu
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
Tin tức
Công nghệ
AI
Công nghệ thông tin
An ninh mạng
Chính sách công nghệ

Nhân viên DOGE lại để lộ khóa API của xAI, đặt ra câu hỏi về bảo mật dữ liệu chính phủ

Nhóm Cộng đồng BigGo
Nhân viên DOGE lại để lộ khóa API của xAI, đặt ra câu hỏi về bảo mật dữ liệu chính phủ

Một mô hình đáng lo ngại về các lỗ hổng bảo mật tại Bộ Hiệu quả Chính phủ ( DOGE ) đã xuất hiện, với một nhân viên khác vô tình để lộ các khóa API nhạy cảm cung cấp quyền truy cập vào hệ thống trí tuệ nhân tạo xAI của Elon Musk . Sự cố mới nhất này liên quan đến Marko Elez , một nhân viên DOGE 25 tuổi đã được cấp quyền truy cập vào nhiều cơ sở dữ liệu nhạy cảm của chính phủ trên các cơ quan liên bang.

Vi phạm bảo mật xảy ra khi Elez công bố mã trên GitHub chứa khóa API riêng tư cho xAI , cho phép bất kỳ ai truy cập vào hơn 50 mô hình ngôn ngữ lớn được công ty sử dụng. Điều đặc biệt đáng lo ngại là khóa bị lộ vẫn hoạt động ngay cả sau khi sự cố được báo cáo, cho thấy các thực hành bảo mật kém và thời gian phản hồi chậm.

Chi tiết kỹ thuật:

  • API key bị lộ đã cung cấp quyền truy cập vào hơn 52 mô hình ngôn ngữ lớn
  • Key vẫn hoạt động ngay cả sau khi việc lộ thông tin đã được báo cáo
  • Các repository trên GitHub thường có tính năng phát hiện thông tin xác thực tự động
  • Vụ rò rỉ trước đó đã lộ các LLM tùy chỉnh cho dữ liệu nội bộ của SpaceX , Tesla và Twitter/X

Một mô hình cẩu thả, không phải lỗi lầm riêng lẻ

Đây không phải lần đầu tiên nhân viên DOGE làm rò rỉ thông tin đăng nhập xAI . Một nhân viên DOGE khác trước đó đã để lộ các khóa tương tự trong hai tháng, tiết lộ các mô hình AI tùy chỉnh được thiết kế để sử dụng nội bộ tại các công ty của Musk bao gồm SpaceX , Tesla và Twitter/X . Cộng đồng đã bày tỏ sự thất vọng với những gì có vẻ là một vấn đề có hệ thống thay vì những sai sót thỉnh thoảng.

Một lần rò rỉ là một lỗi lầm, nhưng khi cùng một loại khóa nhạy cảm bị lộ lặp đi lặp lại, đó không chỉ là vận rủi, mà là dấu hiệu của sự cẩu thả sâu sắc hơn và một văn hóa bảo mật bị phá vỡ.

Cộng đồng kỹ thuật đã chỉ ra rằng ngay cả các công cụ bảo mật cơ bản như tính năng phát hiện khóa tự động của GitHub cũng lẽ ra phải phát hiện được những lỗ hổng này. Các nền tảng phát triển hiện đại thường xuyên quét để tìm thông tin đăng nhập bị commit nhầm, khiến những rò rỉ này càng không thể bào chữa được.

Dòng thời gian chính:

  • 9 tháng 7, 2025: Mô hình xAI mới nhất "grok-4-0709" được tạo ra
  • 13 tháng 7, 2025: Marko Elez commit code với API key bị lộ lên GitHub
  • Tháng 5, 2025: Cựu nhân viên DOGE đã rò rỉ các key xAI trong hai tháng
  • Tháng 2, 2025: Grok-3 được ra mắt
  • Gần đây: DoD trao hợp đồng cho xAI trị giá lên tới 200 triệu USD

Tác động bảo mật rộng hơn

Các mối lo ngại về bảo mật mở rộng xa hơn việc quản lý khóa API đơn giản. Elez đã được cấp quyền truy cập vào cơ sở dữ liệu tại Cục An sinh Xã hội, Bộ Tài chính, Bộ Tư pháp và Bộ An ninh Nội địa. Hồ sơ của anh ta bao gồm việc gửi thông tin cá nhân không được mã hóa vi phạm chính sách của cơ quan và một quá khứ gây tranh cãi liên quan đến các bài đăng trên mạng xã hội ủng hộ chủ nghĩa phân biệt chủng tộc và thuyết ưu sinh.

Thời điểm không thể tệ hơn, khi Bộ Quốc phòng gần đây đã trao cho xAI một hợp đồng trị giá lên tới 200 triệu đô la Mỹ để sử dụng hệ thống AI Grok . Hợp đồng này được ký ngay sau khi Grok bắt đầu tạo ra nội dung bài Do Thái, đặt ra thêm câu hỏi về sự sẵn sàng của các hệ thống AI này cho việc sử dụng của chính phủ.

Quyền truy cập của Marko Elez vào chính phủ:

  • Cục An sinh Xã hội Hoa Kỳ
  • Bộ Tài chính
  • Bộ Tư pháp
  • Bộ An ninh Nội địa
  • Cơ quan Hải quan và Bảo vệ Biên giới Hoa Kỳ
  • Cơ quan Thực thi Luật Xuất nhập cảnh và Hải quan ( ICE )
  • Bộ Lao động
  • Hệ thống Tòa án và Kháng cáo của Văn phòng Điều hành Xem xét Xuất nhập cảnh ( EACS )

Câu hỏi về trách nhiệm giải trình

Cộng đồng đã đặt ra những câu hỏi quan trọng về giám sát và trách nhiệm giải trình trong DOGE . Mặc dù thúc đẩy trách nhiệm giải trình triệt để, nhưng có rất ít minh bạch về những gì nhân viên DOGE thực sự làm hàng ngày. Các lỗi bảo mật lặp đi lặp lại cho thấy một văn hóa ưu tiên tốc độ hơn bảo mật, nghiêng quá xa so với các thực hành IT chính phủ truyền thống.

Việc một nhân viên chính phủ có quyền truy cập trực tiếp vào khóa API xAI cũng đặt ra câu hỏi về mối quan hệ giữa các công ty tư nhân của Musk và vai trò chính phủ của ông. Ranh giới mờ nhạt giữa dịch vụ công và lợi ích kinh doanh tư nhân này thêm một lớp lo ngại khác vào tình huống đã có vấn đề.

Khi chu kỳ tin tức tiếp tục, nhiều người lo lắng rằng những lỗ hổng bảo mật nghiêm trọng này sẽ bị lãng quên mà không có trách nhiệm giải trình thích hợp hoặc thay đổi có hệ thống để ngăn chặn các sự cố trong tương lai.

Tham khảo: DOGE Denizen Marko Elez Leaked API Key for xAI

Một môi trường phòng máy tính, tượng trưng cho không gian nơi bảo mật cần được duy trì và nhận thức về bảo vệ dữ liệu cần được ưu tiên
Một môi trường phòng máy tính, tượng trưng cho không gian nơi bảo mật cần được duy trì và nhận thức về bảo vệ dữ liệu cần được ưu tiên
Tin tức liên quan