על פי הדיווחים, עובד ממשלתי פדרלי הדליף מפתח API רגיש הקשור לפלטפורמת ה- XAI של אלון מאסק – ויכול להיות שיש לו השלכות חמורות הן על הביטחון הלאומי והן על עתיד פיתוח ה- AI.
על פי דיווח של Techradar, מרקו אלז, מפתח תוכנה בן 25 עם המחלקה ליעילות ממשלתית (DOGE), העלה בטעות את תעודות ה- XAI ל- GitHub בזמן שעבד על סקריפט שכותרתו Agent.PY.
מפתח זה העניק גישה לפחות ל 52 דגמי שפה גדולים פרטיים מ- XAI, כולל הגרסה האחרונה של גרוק (GROK-4-0709), מודל GPT-4-4 המפעיל כמה משירותי ה- AI המתקדמים ביותר של מאסק.
האישורים שנחשפו נותרו פעילים למשך פרק זמן, והעלו שאלות עיקריות לגבי בקרת גישה, אבטחת מידע והשימוש ההולך וגובר ב- AI במערכות ממשלת ארה"ב.
למה זה משנה
לאלז הייתה פינוי ברמה גבוהה וגישה למאגרי מידע רגישים המשמשים סוכנויות כמו משרד המשפטים, ביטחון המולדת ומינהל הביטוח הלאומי.
אם תעודות ה- XAI היו מנוצלות לרעה לפני שביטלו, היא יכולה לפתוח את הדלת לשימוש לרעה במודלים של שפה חזקה, החל מגרד נתונים קנייניים וכלה בהתחזה לכלים פנימיים.
אירוע זה עוקב אחר מחרוזת של פגיעות אבטחה הקשורות לדוג ומוסיף למקהלה הולכת וגוברת של ביקורת על אופן הסוכנות; נוצר תחת השפעתו של אלון מאסק כדי לשפר את היעילות הממשלתית, מנהל אמצעי הגנה פנימיים.
מה הודלף
המפתח שהודלף הוטבע במאגר GitHub בבעלות Elez ונחשף בפומבי.
היא סיפקה גישה ל- Backend לסוויטת הדגם של Xai, כולל Grok-4, ללא מגבלות שימוש לכאורה.
חוקרים שגילו את הדליפה הצליחו לאשר את תקפותה לפני שהאחף הורד, אך לא לפני שניתן היה לגרד אותה על ידי אחרים.
דגמי גרוק האחרונים משמשים לא רק לשירותים הפונים לציבור כמו X (לשעבר טוויטר) אלא גם בתוך החוזים הפדרליים של מאסק.
המשמעות היא שדליפת ה- API עשויה ליצור בשוגג משטח התקפה פוטנציאלי על פני מערכות מסחריות וממשליות כאחד.
גדול יותר ממפתח אחד בלבד
זהו סימן אזהרה לכך שמטפלים בכלי AI עם כוח עצום כלאחר יד, אפילו אלה המוחזקים על ידי מבפני ממשלה.
פיליפ קאטאטגלי, CTO בחברת אבטחת הסייבר סרליס, אמר ל- Techradar: "אם מפתח לא יכול לשמור על מפתח API פרטי, זה מעלה שאלות לגבי האופן בו הם מטפלים במידע ממשלתי רגיש הרבה יותר מאחורי דלתות סגורות."
Elez היה מעורב במחלוקות קודמות של Doge, כולל התנהגות מדיה חברתית בלתי הולמת והתעלמות לכאורה מפרוטוקולי אבטחת סייבר.
הנסיגה
בזמן הכתיבה, XAI לא הוציא הצהרה, ומפתח ה- API שהודלף לא בוטל רשמית, על פי הדיווחים. אז נכון לעכשיו, XAI לא השבית את המפתח הזה, מה שהפך אותו לדאגה אבטחה מתמשכת.
בינתיים, פקידי ממשל וכלבי שמירה קוראים למדיניות ניהול תעודות מחמירה יותר ולפיקוח טוב יותר על שיתופי פעולה טכנולוגיים הכוללים תשתיות AI בעלות היצרות גבוהה.
אמנם הפרה זו עשויה לא להשפיע באופן מיידי על המשתמש הממוצע, אך היא מדגישה סוגיה רחבה יותר: הקווים המטושטשים יותר ויותר בין פיתוח AI ציבורי לפרטי, והצורך האמיתי מאוד בשקיפות, אחריות והיגיינת נתונים טובה יותר בשני המגזרים.
לעת עתה, הנסיגה העיקרית היא זו: ככל שמערכות AI הופכות להיות חזקות יותר, בני האדם מאחוריהם חייבים להיות זהירים עוד יותר. כפי שאנו כבר רואים, העלאה רשלנית אחת עלולה לפתוח עולם של סיכון.
לַעֲקוֹב מדריך טום בחדשות גוגל כדי לקבל את החדשות המעודכנות שלנו, כיצד-טוזות וביקורות בעדכונים שלך. הקפד ללחוץ על כפתור העקוב.
