ME News ニュース、5月11日(UTC+8)、動察Beatingの監視によると、新华三(H3C)の「灵犀 AI アシスタント」はインストールプログラムで大量の大規模モデルAPI認証情報を平文で露出していた。このもともとローカルNPU上で動作すると称されるツールは、設定ファイルに直接智谱AI、百度千帆、字节火山引擎など複数のクラウドモデルの有効なキーを書き込んでいた。 ネットユーザーは今年1月末にこの脆弱性を発見し、H3Cチームに報告したが、公式は5月初旬までにすべての漏洩した認証情報を取り消した。 3ヶ月にわたる対応期間は非常に異例である。業界では、対応が遅れた原因として、H3C内部の複数のチームが同じAPI認証情報を共有していたため、公式が徹底的な調査と置換を行う前に漏洩したキーを簡単に切断できなかったと推測されている。幸い、この製品の対象ユーザーは少なく、大規模なハッカーによる不正利用は発生しなかったが、そうなれば高額な請求書が発生していただろう。(出典:BlockBeats)
ローカルモデルを実行すると言いつつ、クラウドAPIを内蔵:H3Cリンサイアシスタントの認証情報が公開されてから3ヶ月後に取り消し
ME News ニュース、5月11日(UTC+8)、動察Beatingの監視によると、新华三(H3C)の「灵犀 AI アシスタント」はインストールプログラムで大量の大規模モデルAPI認証情報を平文で露出していた。このもともとローカルNPU上で動作すると称されるツールは、設定ファイルに直接智谱AI、百度千帆、字节火山引擎など複数のクラウドモデルの有効なキーを書き込んでいた。 ネットユーザーは今年1月末にこの脆弱性を発見し、H3Cチームに報告したが、公式は5月初旬までにすべての漏洩した認証情報を取り消した。 3ヶ月にわたる対応期間は非常に異例である。業界では、対応が遅れた原因として、H3C内部の複数のチームが同じAPI認証情報を共有していたため、公式が徹底的な調査と置換を行う前に漏洩したキーを簡単に切断できなかったと推測されている。幸い、この製品の対象ユーザーは少なく、大規模なハッカーによる不正利用は発生しなかったが、そうなれば高額な請求書が発生していただろう。(出典:BlockBeats)