تسريب مفتاح API من قبل ماركو إليز في xAI

ماركو إليز، موظف يبلغ من العمر 25 عامًا في قسم كفاءة الحكومة (DOGE) التابع لإيلون ماسك، حصل على وصول إلى قواعد بيانات حساسة في إدارة الضمان الاجتماعي الأمريكية، ووزارة الخزانة، ووزارة العدل، ووزارة الأمن الداخلي. يجب أن يملأ هذا جميع الأمريكيين بثقة عميقة عند معرفة أن إليز نشر عن غير قصد مفتاحًا خاصًا سمح لأي شخص بالتفاعل مباشرة مع أكثر من 52 نموذجًا لغويًا كبيرًا (LLMs) تم تطويرها بواسطة شركة ماسك للذكاء الاصطناعي xAI.

الصورة: Shutterstock، @sdx15.

في 13 يوليو، قام إليز بتسليم كود نصي إلى GitHub يسمى "agent.py" والذي تضمن مفتاح تطبيق برمجي خاص لـ xAI. تم الإبلاغ عن تضمين المفتاح الخاص لأول مرة بواسطة GitGuardian، وهي شركة متخصصة في اكتشاف وإصلاح الأسرار المكشوفة في البيئات العامة والخاصة. تقوم أنظمة GitGuardian بمسح GitHub وغيرها من مستودعات الكود باستمرار بحثًا عن مفاتيح API المكشوفة، وترسل تنبيهات آلية للمستخدمين المتأثرين.

فيليب كاتورغيلي، "رئيس قسم القرصنة" في استشارات الأمان Seralys، قال إن المفتاح المكشوف سمح بالوصول إلى 52 نموذجًا لغويًا مختلفًا تستخدمها xAI. كان أحدث نموذج لغوي في القائمة يسمى "grok-4-0709" وتم إنشاؤه في 9 يوليو 2025.

Grok، روبوت الدردشة الذكي الذي تم تطويره بواسطة xAI والمُدمج في Twitter/X، يعتمد على هذه النماذج اللغوية وغيرها (استعلام إلى Grok قبل النشر يظهر أن Grok يستخدم حاليًا Grok-3، الذي تم إطلاقه في فبراير 2025). أعلنت xAI اليوم أن وزارة الدفاع ستبدأ في استخدام Grok كجزء من عقد تصل قيمته إلى 200 مليون دولار. جاء منح العقد بعد أقل من أسبوع من بدء Grok في نشر تعليقات معادية للسامية واستحضار أدولف هتلر.

لم يستجب إليز لطلب التعليق. تمت إزالة مستودع الكود الذي يحتوي على مفتاح xAI الخاص بعد فترة وجيزة من إخطار كاتورغيلي إليز عبر البريد الإلكتروني. ومع ذلك، قال كاتورغيلي إن المفتاح المكشوف لا يزال يعمل ولم يتم إلغاؤه بعد.

"إذا كان بإمكان مطور أن يفشل في الحفاظ على سرية مفتاح API، فإن ذلك يثير تساؤلات حول كيفية تعاملهم مع معلومات حكومية أكثر حساسية خلف الأبواب المغلقة"، قال كاتورغيلي لـ KrebsOnSecurity.

قبل انضمامه إلى DOGE، عمل ماركو إليز في عدد من شركات ماسك. بدأت مسيرته في DOGE في وزارة الخزانة، وأظهر نزاع قانوني حول وصول DOGE إلى قواعد بيانات الخزانة أن إليز كان يرسل معلومات شخصية غير مشفرة في انتهاك لسياسات الوكالة.

بينما كان لا يزال في وزارة الخزانة، استقال إليز بعد أن ربطت The Wall Street Journal بينه وبين منشورات على وسائل التواصل الاجتماعي التي دعت إلى العنصرية وعلم تحسين النسل. عندما ضغط نائب الرئيس ج. د. فانس لإعادة توظيف إليز، وافق الرئيس ترامب وأعاد ماسك تعيينه.

منذ إعادة توظيفه كموظف في DOGE، تم منح إليز الوصول إلى قواعد بيانات في وكالة فيدرالية تلو الأخرى. أفادت TechCrunch في فبراير 2025 أنه كان يعمل في إدارة الضمان الاجتماعي. في مارس، وجدت Business Insider أن إليز كان جزءًا من وحدة DOGE المخصصة لوزارة العمل.

في أبريل، أفادت The New York Times أن إليز شغل مناصب في خدمات الجمارك وحماية الحدود الأمريكية وتنفيذ قوانين الهجرة والجمارك (ICE)، بالإضافة إلى وزارة الأمن الداخلي. أفاد The Washington Post لاحقًا أن إليز، أثناء خدمته كمستشار في DOGE في وزارة العدل، حصل على وصول إلى نظام محاكم ومراجعات مكتب الهجرة التنفيذي (EACS).

إليز ليس أول موظف في DOGE ينشر مفاتيح API الداخلية لـ xAI: في مايو، قامت KrebsOnSecurity بتفصيل كيف تسرب موظف آخر من DOGE مفتاح xAI الخاص على GitHub لمدة شهرين، مما عرض نماذج لغوية تم إنشاؤها خصيصًا للعمل مع البيانات الداخلية من شركات ماسك، بما في ذلك SpaceX وTesla وTwitter/X.

قال كاتورغيلي إنه من الصعب الوثوق بشخص لديه وصول إلى أنظمة حكومية سرية عندما لا يمكنه حتى إدارة أساسيات الأمن التشغيلي.

"تسرب واحد هو خطأ"، قال. "لكن عندما يتم الكشف عن نفس النوع من المفاتيح الحساسة مرة بعد مرة، فإنه ليس مجرد حظ سيئ، بل هو علامة على إهمال أعمق وثقافة أمنية مكسورة."