- xAI के एक डेवलपर ने GitHub पर private LLM API key लीक कर दी, जिससे दो महीने तक कोई भी internal models तक पहुंच सकता था
- इस key के पास Grok के development versions, SpaceX, और Tesla data पर trained models सहित 60 से अधिक LLMs तक पहुंच की अनुमति थी
- GitGuardian ने दो महीने पहले चेतावनी दी थी, लेकिन key तब भी valid रही और security team के पुष्टि करने के बाद ही GitHub से हटाई गई
- credentials management की खराबी न सिर्फ internal development जानकारी के उजागर होने का जोखिम पैदा करती है, बल्कि supply-chain attacks और prompt injection की संभावना भी बढ़ाती है
- इसी दौरान यह भी सामने आया कि DOGE संगठन federal government data को AI में फीड कर रहा है, जिससे Musk-सम्बंधित AI security को लेकर चिंताएं बढ़ रही हैं
xAI की internal LLM API key GitHub पर लीक
- Elon Musk की AI company xAI के एक डेवलपर ने गलती से GitHub पर internal LLM access के लिए API key सार्वजनिक कर दी
- इस key के पास SpaceX, Tesla, और Twitter/X के लिए विशेष रूप से तैयार किए गए LLMs तक पहुंच की अनुमति थी
key कैसे लीक हुई और चेतावनी कैसे अनदेखी हुई
- security consulting company Seralys के Philippe Caturegli ने इस key leak की जानकारी सबसे पहले LinkedIn पर सार्वजनिक रूप से दी
- GitGuardian ने इस पोस्ट के जरिए key को पहचाना और GitHub की लगातार monitoring के आधार पर warning email भेजी
- 2 मार्च को चेतावनी देने के बावजूद 30 अप्रैल तक key अब भी valid थी, और security team के संज्ञान में आने के बाद ही repository हटाई गई
लीक हुई key का प्रभाव
- GitGuardian के अनुसार, यह key Grok के public और private models तक पहुंच सकती थी
- उदाहरण:
grok-2.5V, research-grok-2p5v-1018, grok-spacex-2024-11-04, tweet-rejector आदि
- यह key कम से कम 60 से अधिक unpublished और fine-tuned LLMs तक पहुंच सकती थी
security experts की चेतावनी
- GitGuardian की CMO Carole Winqwist ने चेतावनी दी कि हमलावर इस key के जरिए
- prompt injection
- LLM manipulation
- supply-chain attacks को ट्रिगर करना
जैसे खतरे अंजाम दे सकते हैं
- इस leak को xAI की internal security में कम निगरानी और key lifecycle management की विफलता का उदाहरण माना जा रहा है
government संस्थानों से संबंध और बड़ी चिंता
- इस बात का कोई प्रत्यक्ष प्रमाण नहीं है कि लीक हुई key सीधे government data से जुड़ी थी, लेकिन संबंधित models के SpaceX, Twitter, और Tesla के internal data पर trained होने की संभावना अधिक है
- दूसरी ओर, Musk के नेतृत्व वाला DOGE (Department of Government Efficiency) पहले से ही अमेरिकी federal government data को AI में दे रहा है
- Education Department data का AI से analysis
- GSAi chatbot को federal कर्मचारियों में वितरित करना
- Trump administration के समर्थन की निगरानी के लिए AI उपयोग के संकेत
- इसका मतलब है कि AI systems चलाने वाले operators के पास sensitive data को नियंत्रित करने वाली संरचना और मजबूत हो सकती है, जिससे leak risk बढ़ता है
निष्कर्ष और security warning
- लंबे समय तक exposed internal credentials यह दिखाते हैं कि developer access control और internal security operations में गंभीर खामियां हैं
- Caturegli ने कहा कि यह घटना operational security पर अधिक सख्त नियंत्रण की जरूरत को याद दिलाने वाली चेतावनी है
1 टिप्पणियां
Hacker News की राय
GitGuardian ने xAI कर्मचारी को API key एक्सपोज़ होने की चेतावनी दी थी, उसके लगभग दो महीने बाद भी वह key अब भी वैध थी
SpaceX data LLM का एक्सपोज़ होना ITAR उल्लंघन का बड़ा कारण बन सकता है
यह पूरी तरह से अक्षम्यता है
Elon का 'क्षमता' के आधार पर hiring करना तो साफ़ दिख रहा है
मुझे ज़्यादा जिज्ञासा इस बात की है कि private model
tweet-rejectorका उपयोग किसलिए होता हैसबसे चौंकाने वाली बात यह है कि government officials ने कुछ अमेरिकी सरकारी कर्मचारियों से कहा कि DOGE कम-से-कम एक federal agency के communications की निगरानी के लिए AI का उपयोग कर रहा है
यह देखना उल्लेखनीय है कि reporters गलत तरह से मान लेते हैं कि अगर उनके पास LLM की API key हो, तो वे data inject कर सकते हैं
इसका मतलब ex-AI developer है
[हटाया गया]
[हटाया गया]
[रिपोर्ट किया गया]