微軟AI研究人員意外暴露大量內(nèi)部數(shù)據(jù)，因云存儲(chǔ)鏈接配置錯(cuò)誤

9月19日消息，一家網(wǎng)絡(luò)安全公司的最新研究顯示，微軟公司的人工智能研究團(tuán)隊(duì)意外在軟件開發(fā)平臺(tái)GitHub上暴露了大量私人數(shù)據(jù)。有超過3萬條微軟員工通過Teams溝通的內(nèi)部消息遭泄露。微軟在收到警告后迅速刪除了曝光數(shù)據(jù)。

云安全公司W(wǎng)iz的一個(gè)團(tuán)隊(duì)發(fā)現(xiàn)，這些托管在云平臺(tái)上的數(shù)據(jù)是通過一個(gè)配置錯(cuò)誤的鏈接暴露的。據(jù)Wiz稱，微軟人工智能研究團(tuán)隊(duì)在GitHub上發(fā)布開源訓(xùn)練內(nèi)容時(shí)無意間泄露了這些數(shù)據(jù)。

據(jù)悉，相關(guān)存儲(chǔ)庫的用戶得到通知，可以從云存儲(chǔ)的相關(guān)URL鏈接下載人工智能模型。但根據(jù)Wiz的一篇博客文章，這一鏈接被錯(cuò)誤配置，有整個(gè)存儲(chǔ)帳戶的權(quán)限，并且還授予用戶對整個(gè)存儲(chǔ)庫的完全控制權(quán)限，而不僅僅是只讀權(quán)限，這意味著用戶可以隨意刪除和覆蓋現(xiàn)有文件。據(jù)Wiz稱，存儲(chǔ)庫中泄露的數(shù)據(jù)包括微軟員工的個(gè)人電腦備份信息，其中包含微軟服務(wù)密碼、密鑰和來自359名微軟員工的3萬多條微軟Teams內(nèi)部消息。

Wiz的研究人員表示，開放數(shù)據(jù)共享是人工智能訓(xùn)練工作的關(guān)鍵組成部分。但如果使用不當(dāng)，共享大量數(shù)據(jù)會(huì)使公司面臨更大風(fēng)險(xiǎn)。Wiz首席技術(shù)官兼聯(lián)合創(chuàng)始人阿米盧特瓦克（Ami Luttwak）說，Wiz在今年6月份與微軟分享了這一消息，微軟迅速采取行動(dòng)刪除了暴露數(shù)據(jù)。他補(bǔ)充說，這起事件“本來可能會(huì)更糟”。

在被問及對此次數(shù)據(jù)暴露事件的評論時(shí)，微軟一位發(fā)言人表示：“我們已經(jīng)確認(rèn)，沒有客戶數(shù)據(jù)被泄露，也沒有其他內(nèi)部服務(wù)受到影響?！?/p>

在周一發(fā)布的一篇博客文章中，微軟表示這起事件涉及一名微軟員工將GitHub公共存儲(chǔ)庫中的URL共享給開源人工智能學(xué)習(xí)模型，公司已經(jīng)進(jìn)行調(diào)查，并實(shí)施了補(bǔ)救措施。微軟表示，存儲(chǔ)賬戶中暴露的數(shù)據(jù)包括兩名前員工電腦配置文件的備份內(nèi)容，以及這兩名員工與同事之間的微軟團(tuán)隊(duì)Teams內(nèi)部消息。

根據(jù)博客稱，這次數(shù)據(jù)暴露是Wiz研究團(tuán)隊(duì)在掃描互聯(lián)網(wǎng)上配置錯(cuò)誤存儲(chǔ)器時(shí)發(fā)現(xiàn)的，這是他們針對意外暴露云托管數(shù)據(jù)所開展工作的組成部分。