خب بذار خیلی خودمونی براتون بگم چی شده! یه داستان عجیب امنیتی پیش اومده که کل فضای مجازی رو ریخته به هم. ماجرا از این قراره که یه کارمند DOGE (که حالا خودش یه جور نهاد افزایش راندمان دولته، زیر نظر ایلان ماسک!) به نام مارکو الِز اومده و یه اشتباهی کرده که بیشتر شبیه سوتی بزرگه؛ اومده و کلید API خصوصی xAI رو تو یه اسکریپت تو گیتهاب ریخته و قضیه لو رفته!
حالا بذار اول توضیح بدم API Key اصلاً چیه: 🚪 API Key یه جور کلید رمزی دیجیتالیه که وقتی برنامهها میخوان با یه سرویس یا دیتابیس صحبت کنن، باهاش خودشونو شناسایی میکنن. خلاصه، اگه یکی دستش به این کلیدا برسه، میتونه هر دادهای که دلش بخواد رو بیرون بکشه یا خرابکاری کنه!
برگردیم به ماجرا: این سوتی حسابی جنجالی شد چون این کلید به بیش از ۵۲ تا LLM مختلف xAI دسترسی میده! (LLM یعنی Large Language Model – مدلهای هوش مصنوعی خیلی بزرگی که میتونن متنو مثل انسان تولید کنن یا جواب بدن، مثل ChatGPT!) یکی از این مدلها «گروک» (Grok) هست؛ همونی که تو توییتر X ایلان ماسک داره کار میکنه.
ماجرا چه جوری لو رفت؟ یه شرکت به اسم GitGuardian (که کارش اینه گیتهاب رو واسه کلیدها و اطلاعات محرمانه اسکن کنه و اگه چیزی لو رفته بود به صاحبش خبر بده!) این قضیه رو پیدا کرد. اسکریپت آلوده به اسم agent.py بوده و توش کلید محرمانه xAI رو گذاشته بودن. این کلید نه تنها هنوز باطل نشده (یعنی هنوز هرکی داره میتونه ازش سوء استفاده کنه!) بلکه تازهترین مدل لو رفته، یعنی grok 4-0709، تو ۹ جولای ۲۰۲۵ ساخته شده!
کلاً این اولین بار هم نیست که از DOGE یا حتی xAI اینجور لو رفتن اطلاعات رو شاهدیم؛ قبلاً هم چند نوبت کلیدهای داخلی xAI که ربط به شرکتهای دیگه ایلان ماسک داشتن (مثل اسپیساکس، تسلا، و همین X یا همون توییتر سابق) در ۲۰۲۵ لو رفته بوده. 😳 خلاصه اگه طرفدار امنیت و حریم خصوصی هستین، زیاد روشون حساب نکنین.
جالبتر اینکه چند وقت پیشم اطلاعات ورود یکی دیگه از کارمندای DOGE بر اثر یه بدافزار دزد اطلاعات (infostealing malware، یعنی همون برنامههایی که یواشکی اطلاعات رو شی میکنن!) لو رفته بود. یعنی کل داستانای امنیتیشون هی داره تکرار میشه!
از اون طرف کارشناسهای امنیت میگن اگه یک بار کلید لو بره، میشه گفت دست گل داده طرف. ولی وقتی بارها و بارها همون اطلاعات حساس لو میره، دیگه بحث شانس و اتفاق نیست، کلاً مشکل جدی فرهنگی و مدیریتی دارن تو بخش امنیت. فیلیپ کَتورِگلی، مدیر هکینگ شرکت مشاوره امنیتی Seralys گفته: «وقتی یه برنامهنویس نمیتونه حتی کلید API رو قایم کنه، باید نگران این باشیم که اطلاعات خیلی حساستر دولتی رو پس چطوری نگه میدارن!»
حالا بعد اینکه به مارکو هشدار دادن و ایمیل زدن، اون مخزن (repository) گیتهاب حذف شد، اما مشکل کاملاً حل نشده و کلید هنوز فعاله! پس هرکی زودتر پیداش کنه، میتونه بره تو سیستمای xAI بچرخه!
یه نکته دیگه هم که جالبه بدونین، سایتها و سرویسهایی مثل Aura که تو همین خبر تبلیغ شدن، سرویسهایی هستن برای حفاظت هویت دیجیتال، مدیریت رمزعبور، VPN و آنتیویروس. یعنی اگر دوست دارین کلاً خودتونو از این داستانا دور نگهدارین، میتونین سراغ این سرویسها برین (هرچند که امنیت صد درصدی هیچوقت تضمین نیست!)
جمعبندی کنم: سوتی امنیتی تو DOGE و xAI سوژه هر روز داره میشه و هر سری دارن کلیدها و اطلاعات خیلی حساستری لو میدن. پس هم خودتون حسابی حواستون به امنیت آنلاین، رمزها و اطلاعاتتون باشه، هم اینکه به راحتی به هیچ سرویس آنلاینی اعتماد کامل نکنین.
اگه دوست دارین چیزای بیشتری درباره بهترین نرمافزارهای حذف بدافزار، ابزار هوش مصنوعی یا حتی حملات سرقت هویت با هوش مصنوعی که جدیداً سیستمهای احراز هویت بیومتریک (مثلاً اثر انگشت یا تشخیص چهره!) رو گول میزنن بدونین، حتماً سر بزنین به منبع این خبرها و مطالب جدیدشون رو دنبال کنین!
منبع: +
