Startup đánh giá AI Braintrust xác nhận vi phạm, yêu cầu mọi khách hàng thay đổi khóa nhạy cảm
Startup đánh giá AI Braintrust đã khẩn thiết yêu cầu khách hàng thu hồi và thay thế các khóa API của họ sau một vụ vi phạm bí mật khách hàng trước đó. Theo một email được gửi cho khách hàng vào thứ Hai và được TechCrunch xem, startup này đã xác nhận "truy cập trái phép" vào một trong các tài khoản đám mây Amazon Web Services của họ, chứa các khóa API mà khách hàng sử dụng để truy cập các mô hình AI dựa trên đám mây.
"Chúng tôi đã liên lạc với một khách hàng bị ảnh hưởng và cho đến nay vẫn chưa tìm thấy bằng chứng về sự lan rộng hơn," email cho biết. Email yêu cầu "mọi khách hàng thay đổi" bất kỳ khóa API nào mà họ lưu trữ với Braintrust.
Braintrust đã tiết lộ sự cố bảo mật trên trang web của mình vào thứ Ba. "Sự cố đã được kiểm soát và trong thời gian chờ đợi, chúng tôi đã khóa tài khoản bị xâm phạm, kiểm toán và hạn chế quyền truy cập trên các hệ thống liên quan, đồng thời thay đổi các bí mật nội bộ." Công ty cho biết nguyên nhân của vụ vi phạm đang được điều tra.
Người phát ngôn của Braintrust, Martin Bergman, nói với TechCrunch rằng công ty đã gửi email cho khách hàng "vì quá thận trọng" và rằng họ "đã xác nhận một sự cố bảo mật, nhưng không có bằng chứng về vi phạm vào thời điểm này."
Techcrunch event San Francisco, CA | October 13-15, 2026
Braintrust cung cấp một nền tảng được thiết kế để các công ty giám sát các mô hình và sản phẩm AI. Người sáng lập và Giám đốc điều hành Ankur Goyal trước đây đã nói với TechCrunch rằng Braintrust giống như một "hệ điều hành cho các kỹ sư xây dựng phần mềm AI." Startup này đã huy động được 80 triệu đô la trong vòng gọi vốn Series B vào tháng Hai, định giá công ty ở mức 800 triệu đô la.
Jaime Blasco, đồng sáng lập của startup an ninh mạng Nudge Security, người đã nhận được cảnh báo email về vi phạm từ Braintrust, nói với TechCrunch rằng sự cố này có thể có "những hệ lụy sâu rộng đối với các khách hàng bị ảnh hưởng," như các công ty AI dựa vào Braintrust.
Contact Us Do you have more information about this breach? Or other data breaches? From a non-work device, you can contact Lorenzo Franceschi-Bicchierai securely on Signal at +1 917 257 1382, or via Telegram and Keybase @lorenzofb, or email.
Tin tặc thường nhắm mục tiêu vào các tài khoản công ty trên các dịch vụ đám mây hoặc nền tảng của bên thứ ba như một cách hiệu quả để đánh cắp bí mật, chẳng hạn như khóa API. Khi tin tặc có được khóa API, chúng có thể đăng nhập vào hệ thống của công ty hoặc khách hàng, xuất hiện như thể chúng là người dùng hợp pháp, mà không cần phải xâm nhập vào hệ thống của công ty mục tiêu.
CircleCI, một công ty cung cấp các sản phẩm phát triển cho các kỹ sư phần mềm, đã bị tấn công bởi một vụ vi phạm dữ liệu đám mây tương tự vào năm 2023 và cũng yêu cầu khách hàng của mình thay đổi "bất kỳ và tất cả các bí mật" mà họ lưu trữ với công ty.
Gần đây hơn, một cơ quan an ninh mạng của EU cho biết tin tặc đã có thể đánh cắp 92 gigabyte dữ liệu từ một tài khoản Amazon Web Services (AWS) bị xâm phạm được Ủy ban Châu Âu sử dụng. Vụ vi phạm ảnh hưởng đến 29 thực thể khác của EU và dữ liệu của hàng chục khách hàng nội bộ của Ủy ban Châu Âu.
Khi bạn mua hàng thông qua các liên kết trong bài viết của chúng tôi, chúng tôi có thể kiếm được một khoản hoa hồng nhỏ. Điều này không ảnh hưởng đến sự độc lập biên tập của chúng tôi.
Lorenzo Franceschi-Bicchierai là một Nhà văn cấp cao tại TechCrunch, nơi ông đưa tin về hack, an ninh mạng, giám sát và quyền riêng tư. Bạn có thể liên hệ hoặc xác minh liên hệ từ Lorenzo bằng cách gửi email đến lorenzo@techcrunch.com, qua tin nhắn được mã hóa tại +1 917 257 1382 trên Signal và @lorenzofb trên Keybase/Telegram. View Bio
Góc nhìn từ cộng đồng
Hãy là người đầu tiên thêm một góc nhìn hữu ích để mạch đọc này trở nên sâu hơn.