要點(diǎn)：

• 微軟在GitHub公共存儲庫上錯(cuò)誤使用Azure平臺的共享訪問簽名令牌（SAS），導(dǎo)致38TB的私人數(shù)據(jù)泄露，包括密碼、密鑰和內(nèi)部消息。

• SAS令牌的不當(dāng)使用和缺乏監(jiān)控以及管理，使得數(shù)據(jù)泄露風(fēng)險(xiǎn)增加，難以追蹤。

• 高度依賴大規(guī)模數(shù)據(jù)的AI模型訓(xùn)練過程需要更強(qiáng)的安全措施和協(xié)同工作，以防止類似的事件再次發(fā)生。

站長之家(ChinaZ.com) 9月19日 消息:微軟近期的數(shù)據(jù)泄露事件凸顯了AI模型訓(xùn)練過程中的安全風(fēng)險(xiǎn)和挑戰(zhàn)。這一事件發(fā)生在GitHub公共存儲庫上，由于錯(cuò)誤使用Azure平臺的共享訪問簽名令牌（SAS），導(dǎo)致了38TB的私人數(shù)據(jù)泄露。

微軟的AI研究人員通過一個(gè)權(quán)限過于寬松的SAS令牌在GitHub上分享文件，其中包括用于圖像識別的開源代碼和AI模型。然而，SAS令牌的危險(xiǎn)在于缺乏監(jiān)控和管理，因此難以追蹤和控制。這使得微軟的數(shù)據(jù)曝露了數(shù)年之久，嚴(yán)重威脅了數(shù)據(jù)的安全性。

圖源備注：圖片由AI生成，圖片授權(quán)服務(wù)商Midjourney

除了用于AI模型訓(xùn)練的數(shù)據(jù)，微軟還泄露了兩名員工工作站的磁盤備份，其中包括了“秘密”、私人加密密鑰、密碼以及屬于359名微軟員工的超過30，000條內(nèi)部Microsoft Teams消息?？傆?jì)有38TB的私人文件可能被任何人訪問，直到微軟于2023年6月24日吊銷了危險(xiǎn)的SAS令牌。

這次事件突顯了SAS令牌的安全風(fēng)險(xiǎn)，因?yàn)樗鼈內(nèi)狈ΡO(jiān)控和治理。Wiz指出，應(yīng)盡量限制SAS令牌的使用，因?yàn)槲④洓]有提供通過Azure門戶進(jìn)行集中管理的方式。

此外，SAS令牌可以配置為“實(shí)際上永久有效”，這使得難以追蹤和控制其使用。首個(gè)微軟提交到其AI GitHub存儲庫的令牌于2020年7月20日添加，有效期一直延續(xù)到2021年10月5日。隨后又添加了第二個(gè)令牌，有效期設(shè)置為2051年10月6日。

總之，微軟的這一多TB數(shù)據(jù)泄露事件凸顯了AI模型訓(xùn)練的風(fēng)險(xiǎn)。這種新興技術(shù)需要大規(guī)模的數(shù)據(jù)來進(jìn)行訓(xùn)練，許多開發(fā)團(tuán)隊(duì)需要處理大量數(shù)據(jù)，與同行分享數(shù)據(jù)，或者參與公共開源項(xiàng)目的合作。然而，類似微軟的事件變得越來越難以監(jiān)控和避免，因此需要更強(qiáng)的安全措施和協(xié)同工作來確保數(shù)據(jù)的安全性和隱私保護(hù)。

（舉報(bào)）