Desenvolvedor da xAI vaza chave de API que dava acesso a LLMs privados da SpaceX e Tesla

Um funcionário da xAI expôs no GitHub uma chave privada que, durante os últimos dois meses, poderia ter sido usada por qualquer pessoa para acessar modelos de linguagem da empresa.

De acordo com um pesquisador da GitGuardian, a chave permitia acesso a pelo menos 60 modelos de linguagem privados e ajustados, incluindo versões públicas do Grok, modelos em desenvolvimento e outros inéditos. Alguns desses modelos teriam sido treinados com dados internos da SpaceX e da Tesla.

Com esse acesso, um invasor poderia realizar injeções de prompt, personalizar os modelos de IA para fins próprios ou até tentar inserir código malicioso na cadeia de fornecimento.

A GitGuardian alertou o desenvolvedor sobre o vazamento em 2 de março. No entanto, a chave seguia válida até 30 de abril, quando a empresa decidiu notificar diretamente a equipe de segurança da xAI. O repositório com a chave já foi removido do GitHub.

Até o momento, não há indícios de que dados de usuários ou do governo tenham sido acessados por meio da chave exposta.