埃隆·馬斯克旗下人工智能公司 xAI 發生重大安全疏漏，其開發者在 GitHub 上意外泄露了一個私有 API 密鑰，該密鑰在近兩個月內持續處于可訪問狀態。

密鑰泄露暴露核心模型權限

被泄露的憑證可未經授權訪問專為 SpaceX、特斯拉和 Twitter/X 內部運營定制的大型語言模型（LLM），這一事件凸顯出即使是知名科技公司也存在憑證安全管理的關鍵漏洞。

安全咨詢公司 Seralys 的首席黑客官菲利普·卡圖雷利最先發現該安全事件，并在 LinkedIn 上公開披露。代碼倉庫敏感信息檢測公司 GitGuardian 隨后介入調查。

密鑰持續活躍近兩個月

GitGuardian 的自動化掃描系統于 2025 年 3 月 2 日識別出該遭泄露的 API 密鑰。據 KrebsOnSecurity 報道，盡管 xAI 涉事員工立即收到通知，但該密鑰直到 4 月 30 日 GitGuardian 直接上報 xAI 安全團隊后才被停用。

GitGuardian 的埃里克·富里耶透露，該密鑰可訪問"至少 60 個獨立數據集"，包括多個未發布的 Grok 模型開發版本。泄露的 API 憑證可查詢以下私有定制模型：

• grok-2.5V（未發布版本）
• research-grok-2p5v-1018（開發版本）
• grok-spacex-2024-11-04（私有版本）

開發流程漏洞成導火索

此次泄露源于開發者誤將包含環境變量的配置文件（.env）提交至公開 GitHub 倉庫。業內人士指出："開發者在倉庫內編寫測試時，未檢查就執行 git add 命令，也未將密鑰文件加入忽略列表，導致大量密鑰被持續推送至 GitHub"。

xAI 未就該事件公開置評，相關倉庫在 GitGuardian 上報后迅速刪除。卡圖雷利強調："長期存在的憑證暴露暴露出密鑰管理薄弱和內部監控不足，對開發者訪問權限管控和整體運營安全提出質疑"。

該事件為處理專有敏感數據的尖端 AI 公司敲響警鐘，凸顯健全密鑰管理機制的重要性。