AI评估初创公司Braintrust近日向客户发出安全通知，确认公司一项亚马逊云服务（AWS）账户遭到未授权访问，并要求所有客户撤销并更换存储在该平台上的API密钥。

根据周一发送给客户、并被科技媒体TechCrunch看到的电子邮件，遭入侵的AWS账户中保存了客户用于访问云端AI模型的API密钥。邮件称，公司已就此次事件与一名受影响客户进行了沟通，“迄今尚未发现更广泛的泄露证据”，但仍要求“每位客户更换”其在Braintrust存储的任何API密钥。

Braintrust随后于周二在其官网发布公告，公开披露这一安全事件。公司在声明中表示，事件“已得到控制”，目前已锁定受影响账户，对相关系统访问权限进行审计和限制，并更换了内部密钥。公司称，入侵原因仍在调查之中。

Braintrust发言人Martin Bergman对TechCrunch表示，公司出于谨慎向客户发出通知，并确认发生了安全事件，但“目前没有证据显示存在数据泄露”。

公开信息显示，Braintrust提供一个用于帮助企业监控AI模型和产品的平台。创始人兼首席执行官Ankur Goyal此前在接受TechCrunch采访时表示，Braintrust旨在成为“为构建AI软件的工程师打造的操作系统”。今年2月，该公司完成8000万美元B轮融资，投后估值约8亿美元。

网络安全初创公司Nudge Security联合创始人Jaime Blasco在收到Braintrust的安全警报邮件后对TechCrunch表示，此次事件可能对受影响客户产生“下游影响”，包括依赖Braintrust平台的AI公司。

业内人士指出，黑客经常将云服务或第三方平台上的企业账户作为攻击目标，以窃取API密钥等机密信息。一旦获取这些密钥，攻击者即可冒充合法用户访问企业或其客户系统，而无需直接攻破目标公司的自有系统。

类似事件此前亦有发生。为软件工程师提供开发工具的CircleCI在2023年遭遇云数据泄露后，同样要求客户更换存储在其平台上的“所有密钥”。

近期，欧盟一家网络安全机构也披露，黑客从一个遭入侵的AWS账户中窃取了欧洲委员会使用的92GB数据，事件还波及另外29个欧盟实体及数十个欧洲委员会内部客户的数据。