- Um pesquisador de segurança descobriu um preocupante vazamento de chave da API
- O vazamento vem do funcionário do DOGE Marko Elez
- Esta não é a primeira questão de segurança originária de Doge
Um funcionário com acesso aos dados pessoais de milhões de americanos aparentemente vazou a chave da API para pelo menos quatro dúzias de LLMs desenvolvidos pela empresa de inteligência artificial XAI, incluindo o próprio Chatbot Grok do X (anteriormente Twitter).
Especialista em segurança Brian Krebs revelado Marko Elez, um funcionário do Departamento de Eficiência do Governo de Elon Musk, teve acesso a bancos de dados sensíveis nos departamentos de Administração, Justiça e Tesouro da Seguridade Social dos EUA como parte do trabalho de Doge em ‘simplificar’ os departamentos para aumentar a eficiência.
Ironicamente, os pesquisadores descobriram recentemente que as credenciais de um trabalhador de Doge foram expostas por malware infosteal, então o registro de segurança de Doge até agora é menos do que impressionante.
Grok exposto
Um script de código estava comprometido com o github chamado ‘agente.py’, que incluía uma tecla de interface de programação de aplicativos particular (API) para XAI por Elez. Isso foi sinalizado pela Gitguardian pela primeira vez, uma empresa que examina o Github quanto a tokens secretos da API, credenciais de banco de dados e certificados – e alertas afetados.
A chave da API exposta permitiu o acesso a pelo menos 52 LLMs diferentes usados por Xai, sendo o mais recente um LLM chamado ‘Grok 4-0709’, criado em 9 de julho de 2025 – de acordo com o diretor de hackers da Security Consultancy Seralys, Philippe Caturegli.
Caturegli alertou a segurança de Krebsonse: “Se um desenvolvedor não pode manter uma chave de API privada, levanta questões sobre como eles estão lidando com informações do governo muito mais sensíveis a portas fechadas”.
O repositório de código que contém a chave da API privada foi removido depois que Elez foi notificado por e -mail do vazamento, no entanto, a chave ainda funciona e ainda não foi revogada, para que o problema esteja longe de ser resolvido.
Esta não é a primeira vez que as APIs Xai internas vazam, com o LLMS feito para as outras organizações de Musk, como SpaceX, Tesla e Twitter/X expostas no início de 2025, Krebs confirmou.
“Um vazamento é um erro”, disse Caturegli, “mas quando o mesmo tipo de chave sensível é exposta repetidamente, não é apenas má sorte, é um sinal de negligência mais profunda e uma cultura de segurança quebrada”.
Fique conectado