近日，科技媒体KrebsOnSecurity披露，埃隆·马斯克旗下人工智能公司xAI的一名员工在GitHub上无意泄露了一枚API密钥，这一疏忽持续近两个月。法国安全咨询公司Seralys的“首席黑客官”Philippe Caturegli首先在LinkedIn上曝光了此问题，随后安全公司GitGuardian介入调查。结果显示，该密钥可访问xAI多款大型语言模型，包括未发布的Grok聊天机器人版本及与SpaceX、Tesla相关数据的定制模型。

GitGuardian早在3月2日已通过自动警报通知涉事员工，但直到4月30日直接联系xAI安全团队后，问题才得以解决。研究团队负责人Carole Winqwist警告，攻击者若获取此类权限，可能通过提示注入操控模型或植入恶意代码，威胁供应链安全。此事件凸显了API密钥管理的重要性，以及企业在数据保护方面的潜在漏洞。