Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
TechCrunch · 7.5., 16:26 · sikkerhet

Braintrust ber alle kunder rotere lagrede API-nøkler etter AWS-innbrudd

SYNOPSIS_GENERERT

KI-evalueringsplattformen Braintrust bekreftet 6. mai uautorisert tilgang til en AWS-konto med kunde-API-nøkler. Alle kunder bes rotere nøkler de har lagret hos selskapet.

Braintrust sendte mandag ut en e-post til kunder, sett av TechCrunch, som bekreftet at angripere fikk tilgang til én av selskapets AWS-kontoer. Kontoen inneholdt API-nøkler kunder hadde lagret for å la Braintrust kalle skybaserte KI-modeller på deres vegne. Plattformen brukes til å monitorere og evaluere KI-modeller i produksjon, og hentet inn 80 millioner dollar i en B-runde i februar til en verdsettelse på 800 millioner.

«Vi har kommunisert med én rammet kunde og har til dags dato ikke funnet bevis for bredere eksponering.» — Braintrust i kunde-e-posten

Talspersonen Martin Bergman beskriver varselet som «overdreven forsiktighet» og sier det er bekreftet en sikkerhetshendelse, men at det ikke finnes bevis for et faktisk databrudd. Selskapet sier den kompromitterte kontoen er låst, tilgangen til nærliggende systemer revidert og interne hemmeligheter rotert. Årsaken er fortsatt under etterforskning.

Dette er det klassiske third-party-mønsteret: angriperen trenger ikke bryte seg inn hos deg. Holder det å kompromittere en leverandør som ligger på dine nøkler, kan de logge seg inn på modell-API-ene dine som en legitim bruker. Jaime Blasco i Nudge Security, som selv mottok varslet, peker på «downstream-implikasjoner» for KI-selskaper som er avhengige av Braintrust.

Parallellen til CircleCI-saken i 2023 er åpenbar: også der ble alle kunder bedt om å rotere «hvilken som helst og alle hemmeligheter». EU-kommisjonen mistet 92 GB data via en kompromittert AWS-konto i fjor. Mønsteret er at jo flere KI-verktøy du gir agenten din nøkler til, desto bredere er angrepsoverflaten din.

Hva bør du gjøre?

  1. Roter alle Braintrust-lagrede nøkler nå: OpenAI, Anthropic, Google, Azure OpenAI, hva enn du har konfigurert hos dem. Anta eksponering til selskapet bekrefter det motsatte.
  2. Sjekk loggene: Gjennomgå API-bruk på de roterte nøklene for unormal trafikk de siste ukene, særlig kall fra ukjente IP-er eller regioner.
  3. Vurder scope-begrensning: Hvis evalueringsverktøyet ditt trenger en KI-nøkkel, gi den en egen begrenset nøkkel med rate-limit og brukstak, ikke prod-nøkkelen.
Åpne eksternt kildedokument
sikkerhetverktøy

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN