2023年9月19日报道:微软最近面临了一次重大的数据曝露事件,引发了对人工智能(AI)技术安全性不断增长的关注。
云安全公司Wiz揭示,微软意外泄露了大量内部数据,总计达38TB。泄露事件持续时间为2020年7月20日至2023年6月24日。
数据泄露细节 Wiz发现,微软在其云平台Azure上犯了一个大错。这个错误是因为在Azure上错误地使用了一个工具。数据存放在一个名为“robust-models-transfer”的公共GitHub空间中,微软的AI团队在这里进行工作。
暴露的“robustnessws4285631339”存储账户容器 这个公共空间不仅有任何人都能看到的代码和AI设计,还显示了不应该显示的内容,如员工计算机的备份、秘密代码、密码以及来自Microsoft Teams应用的许多聊天记录。
核心问题:SAS令牌的错误使用 微软在Azure上使用了共享访问签名(SAS)令牌进行数据共享。但这些令牌没有被正确使用,导致数据意外公开。其中一个SAS令牌从2020年7月持续到2021年10月。
另一个SAS令牌设定为有效期至2051年。SAS令牌存在风险,因为它们可能长时间保持有效,难以控制。
微软如何解决这个问题 一旦Wiz告知微软,微软就迅速采取行动。他们使不安全的令牌变得安全,并阻止外部人员获取数据。
微软表示,没有人在未经许可的情况下获取客户数据,因此客户无需采取进一步措施。
他们还改进了系统,可以更快地发现有风险的SAS令牌。
更大的背景:加强AI安全需求 这一事件表明,我们在处理AI技术时必须更加小心。AI技术发展迅速,保持其安全性很困难。Wiz的首席技术官Ami Luttwak表示,所有公司都需要非常小心。
他们应该采取果断的措施,以防止类似事件再次发生。数据至关重要,我们必须确保其安全性,特别是在开发新的AI技术时。
微软表示,他们从Wiz发现的问题中吸取了教训,并且已经让GitHub更好地识别不安全的SAS令牌。
该公司确认他们正在采取措施确保此类错误不再发生,并强调了在快速发展的人工智能领域中数据安全的重要性。
发表回复