微软 AI 研究人员意外泄露 38TB 内部数据


云安全初创公司 Wiz 的研究人员报告了一起发生在微软 AI GitHub 存储库上的数据泄露事件,其中包括 3 万多条内部 Microsoft Teams 消息的泄露;而这一切都是由一个配置错误的 SAS 令牌所引起。

Wiz 指出,数据泄露源于微软人工智能研究小组下的一个名为robust-models-transfer的仓库;该存储库包含可用于构建新神经网络的图像识别模型和训练数据集。此次泄露是由其中一个训练数据文件引起的,该文件托管在 Azure 存储帐户中。微软方面原本打算仅公开共享 AI 训练数据集,但意外地开放了对包含该数据集的整个 Azure 存储帐户的访问权限。

研究人员在扫描后发现,配置错误的帐户导致了 38 TB 的微软内部文件泄露,其中包括两名员工工作站的磁盘备份。这些备份包含敏感的个人数据,涵盖 Microsoft services 的密码、密钥以及来自 359 名微软员工的 30,000 多条内部 Microsoft Teams 消息。

且除了过于宽松的访问范围之外,令牌还被错误配置为允许“完全控制”权限而不是只读权限。这意味着,攻击者不仅可以查看存储帐户中的所有文件,还可以删除和覆盖现有文件。

不过研究人员指出,此存储帐户并未直接向公众公开,而是一个私有存储帐户。“微软的开发人员使用了一种名为 SAS tokens 的 Azure 机制,该机制允许创建一个可共享的链接,授予对 Azure 存储账户数据的访问权限--而经过检查,该存储账户看起来仍然是完全私有的。”

Wiz 最初于 6 月 22 日发现了该问题,并在不久后向微软报告。6 月 24 日,微软宣布撤销 SAS 令牌,并于 8 月 16 日完成了潜在影响的内部调查。

报告总结称,共享人工智能数据集这一简单步骤却导致了重大数据泄露,根本原因在于使用了账户 SAS 令牌作为共享机制。由于缺乏监控和管理,SAS 令牌存在安全风险,应尽可能限制其使用。“这些令牌很难跟踪,因为微软没有在 Azure 门户中提供集中管理这些令牌的方法。此外,这些令牌可以配置为永久有效,没有过期时间上限。因此,将账户 SAS 令牌用于外部共享是不安全的,应避免使用。”

并建议组织提高人工智能开发过程的相关安全风险意识,确保安全团队与数据科学和研究团队密切合作,以确保定义适当的防护栏。


相關推薦

2023-07-25

苹果公司却因担心泄露相关数据而限制员工使用ChatGPT、微软旗下的GitHub Copilot等其他外部人工智能工具。 然而,苹果仍然需要对其他公司在人工智能领域的发展做出回应。据报道,该公司已经使用自有框架Ajax为其服务构建了许

2023-10-20

(的前两天),相约开源PHP办公室,我们一起聊 AI!>>> 微软研究院近日发布文章介绍了他们对 GPT 模型可信度的研究。文章称 GPT 模型很容易被误导,产生有毒和有偏见的输出,并泄露训练数据和对话历史中的隐私信息。

2023-03-12

,网络钓鱼活动通过在合法和受信任的域名(如 Google、微软、AWS、GitHub 等)上托管钓鱼网站来欺骗 URL 过滤供应商。 根据研究,在 2021 年 6 月至 2022 年 6 月之间,在合法的 Saas 平台上托管的新发现的网络钓鱼 URL 的比率增加了

2023-11-25

微软 Copilot 具有商业数据保护功能的 Web AI 聊天功能将于今年 12 月 1 日正式上线(即 Bing Chat Enterprise)。 官方 FAQ  页面写道,Bing Chat Enterprise 为 160 多个地区提供服务——不包括中国,但该服务支持简体中文。 该功能无

2023-04-06

媒体 Economist 的报道,出于担心可能发生的内部机密信息泄露,三星一直阻止其员工在工作场所使用 ChatGPT。不过从 3 月 11 日起,三星向其半导体部门的员工授予了 ChatGPT 的使用权限(其他部门仍被禁止)。可能是员工对于新工

2024-03-19

规模也在7B左右,除非是MoE架构可能不同。数月前,曾有微软CODEFUSION论文意外泄露当时GPT-3.5模型参数为20B,在后续论文版本中又删除了这一信息。(量子位)

2023-04-25

要密码长度达到 18 位,AI 也需要 10 个月才能破解。包括微软在内的很多公司都会提供一个定期让你修改密码的选项(比如下图,微软可以提醒用户每 72 天强制更换一次密码),如果开启了这个选项,再考虑到 AI 需要十个月才

2023-06-09

型而采取的步骤。” Meta 于 2 月份发布 LLaMA 供批准的研究人员下载,而没有选择集中和限制对底层数据、软件和模型的访问。对此 Meta 解释称,这一决定有助于推进 AI 研究,以提高其稳健性并减轻已知问题,例如偏见、毒性

2023-07-26

IBM Security 最新发布的一份 2023 年数据泄露成本报告显示,2023 年全球数据泄露的平均成本达到 445 万美元,创下该报告的历史新高,相较过去3年增长了15%。其中检测和升级成本在同一时期跃升了 42%,是数据泄露成本中最高的

2021-12-24

直存在,很可能已经被利用。 Wiz 于 2021 年 10 月 7 日向微软报告了这个安全漏洞。微软方面在 12 月 7 日至 15 日期间向一些受影响严重的用户发送了警报邮件,目前该漏洞已经得到缓解;但还有一小部分用户可能仍处在风险当

2024-07-30

的 Windows 全球大面积蓝屏死机问题,两个直接当事方——微软和 CrowdStrike 均已发布了相关技术报告。 7 月 24 日,CrowdStrike 发布 Windows 大范围蓝屏事件初步审查报告,并表示即将在公开发布的根本原因分析中详细说明全面调查结

2023-07-13

业内人士近日对 OpenAI 今年 3 月发布的 GPT-4 大模型进行了大揭秘,其中包括 GPT-4 模型架构、训练和推理的基础设施、参数量、训练数据集、token 数、成本、混合专家模型 (Mixture of Experts, MoE) 等非常具体的参数和信息。 文章作

2024-08-05

IBM 最新的一份研究报告指出,2024 年全球数据泄露的平均成本上升至 488 万美元,相较去年增加 10%,创历史新高。造成这一结果的原因在于违规行为造成的附带损害(业务损失、违规后客户成本等)对业务产生了更大的影响。 4

2023-06-05

个与 macOS 深度绑定的浏览器,Safari 在上个月成功超越了微软 Edge 浏览器,成为了全球市场份额排名第二的桌面浏览器。来到新的一个月,Safari 的市场占有率进一步上升,从此前的 11.89% 上升至 12.79%,再加上 Edge 的市场占有率出