AI評測初創公司Braintrust近日向客戶發出緊急通知,要求他們撤銷並更換API密鑰,起因是公司旗下一個亞馬遜雲服務(AWS)賬戶遭到未經授權的訪問,其中儲存著客戶用於訪問雲端AI模型的API密鑰。
據TechCrunch獲得的一封周一發送給客戶的郵件顯示,Braintrust確認其AWS雲賬戶發生了"未經授權的訪問"。郵件中寫道:"我們已與一名受影響客戶進行了溝通,目前尚未發現更大範圍泄露的證據。"郵件同時要求"每位客戶"對其儲存在Braintrust的API密鑰進行輪換。
Braintrust隨後於周二在其官網正式披露了這一安全事件,聲明稱:"事件已得到控制,與此同時,我們已鎖定受損賬戶,對相關系統的訪問權限進行了審計和限制,並對內部密鑰進行了輪換。"公司表示,此次事件的具體原因仍在調查中。
Braintrust發言人Martin Bergman告訴TechCrunch,公司發出該郵件是"出於高度謹慎的考慮",並強調"雖然確認發生了安全事件,但目前尚無數據泄露的證據"。
Braintrust是一家為企業提供AI模型與產品監控平台的初創公司。其創始人兼CEO Ankur Goyal此前曾向TechCrunch表示,Braintrust就像是"為構建AI軟體的工程師打造的作業系統"。該公司於今年2月完成了8000萬美元的B輪融資,估值達8億美元。
網路安全初創公司Nudge Security聯合創始人Jaime Blasco在收到Braintrust的安全事件郵件通知後告訴TechCrunch,此次事件可能對依賴Braintrust的AI公司等受影響客戶產生"下游連鎖影響"。
黑客頻繁將企業的雲服務賬戶或第三方平台賬戶作為攻擊目標,以此竊取API密鑰等敏感憑證。一旦黑客獲取API密鑰,便可偽裝成合法用戶登錄相關公司或客戶的系統,而無需直接攻破目標公司的內部防線。
2023年,為軟體工程師提供開發工具的企業CircleCI也曾遭遇類似的雲端數據泄露事件,同樣要求客戶對儲存在其平台上的"所有密鑰"進行輪換。
近期,歐盟網路安全機構披露,黑客通過入侵歐盟委員會使用的一個AWS賬戶,竊取了92GB的數據,此次事件波及另外29個歐盟機構,以及歐盟委員會數十個內部客戶的數據。
Q&A
Q1:Braintrust這次安全事件具體是怎麼發生的?
A:黑客對Braintrust旗下的一個亞馬遜雲服務(AWS)賬戶進行了未經授權的訪問,該賬戶中儲存著客戶用於訪問雲端AI模型的API密鑰。目前事件的具體原因仍在調查中,但Braintrust表示已鎖定受損賬戶、限制相關系統訪問權限並完成了內部密鑰輪換,事件已得到控制。
Q2:API密鑰泄露了會有什麼風險?
A:API密鑰一旦被黑客獲取,對方可以偽裝成合法用戶直接訪問相關公司或客戶的系統,而不需要再次入侵目標公司的內部系統。這意味著黑客可以在不被察覺的情況下訪問敏感數據或服務,對受影響客戶造成潛在的安全威脅,尤其是依賴Braintrust平台的AI公司可能面臨下游連鎖影響。
Q3:Braintrust是做什麼的?規模有多大?
A:Braintrust是一家AI評測初創公司,為企業提供監控AI模型與產品的平台,其創始人兼CEO Ankur Goyal將其定位為"為構建AI軟體的工程師打造的作業系統"。公司於2025年2月完成8000萬美元的B輪融資,估值達8億美元。






