Un employé du gouvernement fédéral aurait divulgué une clé d'API sensible liée à la plate-forme XAI d'Elon Musk – et cela pourrait avoir de graves implications pour la sécurité nationale et l'avenir du développement de l'IA.

Selon un rapport de Techradar, Marko Elez, un développeur de logiciels de 25 ans au ministère de l'efficacité du gouvernement (DOGE), a accidentellement téléchargé des informations d'identification XAI sur GitHub tout en travaillant sur un script intitulé Agent.py.

Cette clé a accordé un accès à au moins 52 modèles privés de grande langue de XAI, y compris la dernière version de Grok (GROK-4‑0709), un modèle de classe GPT-4 alimentant certains des services d'IA les plus avancés de Musk.

Les informations d'identification exposées sont restées actives pendant une période préoccupante, ce qui soulève des questions majeures sur le contrôle d'accès, la sécurité des données et l'utilisation croissante de l'IA dans les systèmes gouvernementaux américains.

Pourquoi cela compte

Meilleures suites de sécurité Internet

Elez avait une autorisation de haut niveau et un accès aux bases de données sensibles utilisées par des agences comme le ministère de la Justice, la sécurité intérieure et la Social Security Administration.

Si les informations d'identification XAI étaient maltraitées avant d'être révoquées, elle pourrait ouvrir la porte à l'utilisation abusive de modèles de langage puissants, de la gratte des données propriétaires à l'identité d'outils internes.

Cet incident suit une série d'éclats de sécurité liés aux doges et ajoute à un chœur croissant de critiques sur la façon dont l'agence; Formé sous l'influence d'Elon Musk pour améliorer l'efficacité du gouvernement, gère les garanties internes.

Qu'est-ce qui a été divulgué

sécurité

La clé divulguée a été intégrée dans un référentiel GitHub appartenant à Elez et exposé publiquement.

Il a fourni un accès backend à la suite de modèles de XAI, y compris Grok-4, sans aucune restriction d'utilisation apparente.

Les chercheurs qui ont découvert la fuite ont pu confirmer sa validité avant que le référentiel ne soit retiré, mais pas avant d'avoir pu être gratté par d'autres.

Les modèles GROK les plus récents sont utilisés non seulement pour les services orientés publics comme X (anciennement Twitter), mais aussi dans les contrats fédéraux de Musk.

Cela signifie que la fuite d'API peut avoir créé par inadvertance une surface d'attaque potentielle sur les systèmes commerciaux et gouvernementaux.

Plus grand qu'une seule clé

Graphique d'écran montrant l'avertissement de violation des données

Il s'agit d'un signe d'avertissement que des outils d'IA avec une puissance énorme sont gérés avec désinvolture, même ceux détenus par des initiés du gouvernement.

Philippe Caturegli, CTO dans la société de cybersécurité Seralys, a déclaré à Techradar: « Si un développeur ne peut pas garder une clé API privée, cela soulève des questions sur la façon dont ils gèrent des informations gouvernementales beaucoup plus sensibles à huis clos. »

Elez a été impliqué dans les controverses précédentes des Doge, notamment un comportement inapproprié des médias sociaux et un mépris apparent pour les protocoles de cybersécurité.

Le point à emporter

Au moment de la rédaction du présent document, XAI n'a pas publié de déclaration et la clé d'API divulguée n'a pas été officiellement révoquée, selon des rapports. Donc, à partir de maintenant, XAI n'a pas désactivé cette clé, ce qui en fait une préoccupation de sécurité continue.

Pendant ce temps, les représentants du gouvernement et les chiens de garde appellent à des politiques de gestion des diplômes plus strictes et à une meilleure surveillance des collaborations technologiques impliquant des infrastructures d'IA à enjeux élevés.

Bien que cette violation puisse ne pas affecter immédiatement l'utilisateur moyen, il met en évidence un problème plus large: les lignes de plus en plus floues entre le développement d'IA public et privé, et le besoin très réel de transparence, de responsabilité et d'une meilleure hygiène de données dans les deux secteurs.

Pour l'instant, la clé à retenir est la suivante: à mesure que les systèmes d'IA deviennent plus puissants, les humains derrière eux doivent être encore plus prudents. Comme nous le voyons déjà, un téléchargement imprudent pourrait débloquer un monde de risques.

Suivre Guide de Tom sur Google News Pour obtenir nos nouvelles à jour, How-Tos et Avis dans vos flux. Assurez-vous de cliquer sur le bouton Suivre.