xAI员工误泄API密钥两月 特斯拉SpaceX定制模型险曝光

Meise

马斯克旗下的人工智能公司xAI最近闯祸了！一名程序员手滑把自家"万能钥匙"——API密钥挂到GitHub上，让黑客们白嫖了两个月。这把钥匙不仅能打开公开的Grok聊天机器人，连特斯拉和SpaceX的定制版AI模型也差点被一锅端。

这事还得从今年3月说起。法国安全公司Seralys的"黑客头子"Philippe Caturegli在LinkedIn上挂出警报，GitGuardian随后确认这把密钥能解锁60多个内部模型，包括还没发布的grok-2.5V、专门审核推文的"tweet-rejector"，甚至有用SpaceX火箭数据调教过的"grok-spacex-2024-11-04"。更魔幻的是，GitGuardian早在3月2日就通知了涉事员工，结果人家愣是拖到4月30日才修好漏洞。

安全专家急得直拍大腿：黑客要是拿到这权限，分分钟能让AI胡说八道，甚至往企业系统里塞病毒。比如让火箭设计模型算错参数，或者让客服AI泄露用户隐私，想想都后背发凉。更尴尬的是，这次泄露正好撞上xAI和X平台合并成估值1130亿美元的XAI Holdings Corp，公司还准备找微软Azure合作托管Grok模型，这下甲方爸爸怕是要重新掂量合作风险了。

对比公开的Grok 3商业版，被泄露的内部模型简直就是"满血版"——商业版的知识截止到去年11月，上下文记忆只有13万个单词，而内部版本据说能记百万级内容，还塞满了特斯拉自动驾驶和SpaceX火箭的机密数据。有网友调侃："马斯克这是把自家机密贴公告栏了？"

眼下正值xAI筹备200亿美元融资的关键时刻，这出安全事故给资本故事蒙上阴影。要知道三个月前公司刚融到60亿美元，估值冲到240亿美元，现在投资人估计正连夜查自家AI系统的密钥管理5。安全专家建议：搞AI的公司得学银行金库管理，密钥不能靠程序员自觉，得用自动监控+权限分级，因为AI越智能，捅娄子的后果越可怕。