浦明的博客
·
大模型生态的数据泄露危机:从向量数据库到AI助手的“失控链”
💡
原文中文,约7500字,阅读约需18分钟。
📝
内容提要
2025年3月至6月,全球发生多起大模型数据泄露事件,涉及敏感数据外泄,暴露了AI应用的安全短板。这些事件包括国内大学向量数据库的未授权访问、GitHub MCP漏洞导致的私有代码泄露、微软OneDrive的权限过度及SharePoint Copilot AI的漏洞。建议加强访问控制、精细化权限管理和监控机制,以防止数据泄露风险。
🎯
关键要点
- 2025年3月至6月,全球发生多起大模型数据泄露事件,涉及敏感数据外泄,暴露了AI应用的安全短板。
- 事件一:国内某大学向量数据库存在未授权访问,导致数百条AI应用知识库/训练数据泄露。
- 事件二:GitHub MCP漏洞导致私有代码和敏感数据泄露,攻击者可通过恶意提示注入获取数据。
- 事件三:微软OneDrive的权限过度问题,导致数百万用户的云盘数据被第三方应用访问。
- 事件四:黑客利用微软SharePoint Copilot AI漏洞,窃取密码及敏感数据,绕过传统日志监控。
- 建议加强访问控制、精细化权限管理和监控机制,以防止数据泄露风险。
❓
延伸问答
2025年发生了哪些大模型数据泄露事件?
2025年发生了多起大模型数据泄露事件,包括国内大学向量数据库未授权访问、GitHub MCP漏洞导致私有代码泄露、微软OneDrive权限过度问题及SharePoint Copilot AI漏洞。
国内大学向量数据库的数据泄露是如何发生的?
国内某大学的向量数据库因未设置有效的访问控制和认证机制,导致任何互联网用户,包括恶意攻击者,可以通过Restful API任意访问数据库中的向量数据。
GitHub MCP漏洞的影响是什么?
GitHub MCP漏洞允许攻击者通过恶意提示注入获取私有代码库数据,可能导致企业私有代码和敏感信息泄露,形成供应链安全危机。
微软OneDrive的权限过度问题具体表现在哪些方面?
OneDrive的File Picker工具存在权限过度问题,允许第三方应用访问用户的整个OneDrive内容,可能导致数百万用户的数据泄露。
如何防止大模型数据泄露?
建议加强访问控制、精细化权限管理和监控机制,及时更新系统,定期审计数据内容,以降低数据泄露风险。
SharePoint Copilot AI漏洞的主要风险是什么?
SharePoint Copilot AI漏洞允许攻击者绕过权限限制,提取敏感信息如密码和私钥,且其访问行为不会被记录,增加了数据泄露的风险。
➡️
