蓝点网
·
[已吊销] H3C灵犀AI助手直接在配置文件中暴露大量API凭据 3个月后才完成吊销
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
H3C团队的灵犀AI助手在配置文件中泄露了多个云端AI模型的API凭据,涉及智谱、百度千帆和字节跳动等。尽管网友反馈后,H3C直到5月才完成凭据吊销,可能因内部使用相同凭据导致沟通延误。此事件提醒开发者不要将敏感凭据直接嵌入配置文件,以防安全风险。
🎯
关键要点
- H3C团队的灵犀AI助手在配置文件中泄露了多个云端AI模型的API凭据,涉及智谱、百度千帆和字节跳动等。
- H3C直到5月才完成凭据吊销,可能因内部使用相同凭据导致沟通延误。
- 灵犀AI助手的安装程序直接内置多个云端AI模型的调用凭据,未通过云端下发。
- H3C研发团队最初回应称灵犀AI助手只运行本地模型,但云端模型调用凭据依然有效,显示出产品缺陷。
- 事件提醒开发者不要将敏感凭据直接嵌入配置文件,以防安全风险。
❓
延伸问答
H3C灵犀AI助手泄露了哪些API凭据?
H3C灵犀AI助手泄露了智谱、百度千帆和字节跳动等多个云端AI模型的API凭据。
H3C为什么花了三个月才完成API凭据的吊销?
H3C可能因内部使用相同凭据而需要沟通各方,导致吊销进度延迟。
灵犀AI助手的安装程序是如何处理API凭据的?
灵犀AI助手的安装程序直接在配置文件中内置多个云端AI模型的调用凭据,而不是通过云端下发。
H3C灵犀AI助手事件对开发者有什么警示?
该事件提醒开发者不要将敏感凭据直接嵌入配置文件,以防止安全风险。
H3C团队最初对灵犀AI助手的回应是什么?
H3C研发团队最初回应称灵犀AI助手只运行本地模型,但云端模型调用凭据依然有效,显示出产品缺陷。
如果API凭据被黑客发现,会有什么后果?
如果API凭据被黑客发现,可能导致不可预料的后果,例如产生高额的AI模型调用费用。
➡️
