大型组织因泄露的API令牌面临风险

关键要点

超过700家使用人工智能工具的组织面临账户被攻陷的风险。涉及的主要公司包括微软、谷歌和VMware。泄露的1681个Hugging Face令牌被用于大型语言模型集成与管理。安全研究人员使用77个具有写权限的令牌完全接管了多个公司存储库。报告指出，还存在训练数据被污染和私有模型泄漏的风险。

近期，SecurityWeek报道，超过700家企业，包括微软、谷歌和VMware，因泄露的1681个有效Hugging Face API令牌而可能面临账户被攻击的风险。这些令牌允许用户集成大型语言模型以及管理Hugging Face存储库，现已在Hugging Face和GitHub上曝光。

根据报告，许多大型企业的存储库被Lasso Security的研究人员用77个包含写权限的655个令牌完全接管。此外，针对那些模型下载量高的组织，报告指出其他令牌可能允许完全访问。Lasso Security表示：“控制一个有着数百万次下载的组织，我们现在有能力操控现有模型，潜在地将它们变成恶意实体。这意味着一个巨大的威胁，因为被注入的已损坏模型可能会影响依赖这些基础模型的数百万用户。”

黑洞加速加器事件描述泄露令牌数量1681个涉及公司超过700家，包括微软、谷歌和VMware使用的令牌655个被曝光的令牌，77个具有写权限报告风险训练数据污染与私有模型泄漏

补充说明Lasso Security强调，随着科技的进步，组织需要更加重视API令牌的安全性，确保不会因为疏忽而导致潜在的重大损失。

这种情况提醒大型企业在使用AI工具时，需加强安全策略，定期审查和更换API令牌，以防止类似事件再次发生。