AI评估初创公司Braintrust确认数据泄露，要求所有客户轮换敏感密钥

AI评估初创公司Braintrust已敦促客户撤销并更换其API密钥，此前发生了一起客户机密泄露事件。根据周一发送给客户并被TechCrunch看到的电子邮件，该初创公司确认其一个亚马逊网络服务（AWS）云账户存在“未授权访问”，该账户包含客户用于访问基于云的AI模型的API密钥。邮件中提到：“我们已与一位受影响的客户进行了沟通，迄今为止未发现更广泛暴露的证据。”同时，邮件要求“每位客户轮换”他们在Braintrust存储的任何API密钥。Braintrust于周二在其网站上披露了这一安全事件，称“事件已得到控制，同时我们已锁定受损账户，审计并限制了相关系统的访问，并轮换了内部机密。”公司表示，此次 breach 的原因正在调查中。Braintrust发言人Martin Bergman告诉TechCrunch，公司向客户发送电子邮件是“出于高度谨慎”，并“确认发生了安全事件，但目前没有证据表明存在数据泄露”。Braintrust提供一个旨在让公司监控AI模型和产品的平台，其创始人兼首席执行官Ankur Goyal此前曾告诉TechCrunch，Braintrust就像是“为构建AI软件的工程师打造的操作系统”。该初创公司在2月份的B轮融资中筹集了8000万美元，公司估值达8亿美元。网络安全初创公司Nudge Security的联合创始人Jaime Blasco收到了Braintrust的 breach 电子邮件警报，他告诉TechCrunch，该事件可能对受影响的客户产生“下游影响”，例如依赖Braintrust的AI公司。黑客经常将目标对准云服务或第三方平台上的企业账户，以此作为窃取API密钥等机密的有效方式。一旦黑客获得API密钥，他们就可以登录公司或客户的系统，看似合法用户，而无需侵入目标公司的系统。2023年，为软件工程师提供开发产品的公司CircleCI曾遭遇类似的云数据 breach，并同样要求其客户轮换存储在该公司的“任何和所有机密”。最近，欧盟一家网络安全机构称，黑客能够从欧盟委员会使用的一个受损AWS账户中窃取92GB数据，该 breach 影响了其他29个欧盟实体以及数十名欧盟委员会内部客户的数据。