堆代码讯 人工智能评估初创公司Braintrust已正式敦促所有客户撤销并更换其API密钥，起因是该公司早些时候发生了一起客户机密信息相关的安全事件，其亚马逊云服务（AWS）账户遭到了未经授权的访问。

据TechCrunch获取的、Braintrust于周一发送给客户的电子邮件显示，这家初创公司已确认，其一个存储着客户API密钥的AWS账户发生了“未经授权的访问”，而这些API密钥是客户用于访问基于云的AI模型的关键凭证。邮件中明确说明：“我们已与一名受影响的客户进行了沟通，迄今为止尚未发现更广泛泄露的证据。”同时，邮件向所有客户提出明确要求，需“轮换”他们存储在Braintrust平台上的所有API密钥，以此降低安全风险。

随后在周二，Braintrust在其官方网站上正式披露了这一安全事件，并表示事件已得到有效控制。“该事件已得到控制，同时我们已经锁定了被入侵的账户，对相关系统进行了审计和访问限制，并轮换了内部密钥。”该公司在声明中写道，同时透露，目前泄密事件的具体原因仍在进一步调查中，尚未有明确结论。

Braintrust发言人Martin Bergman在接受TechCrunch采访时补充说明，公司此次发送邮件是“出于高度谨慎”，目的是最大限度保护客户权益，同时明确表示“确认了一起安全事件，但目前没有证据表明发生了泄露”，缓解市场和客户的担忧。

公开信息显示，Braintrust专注于为企业提供AI模型和产品监控平台，其创始人兼首席执行官Ankur Goyal此前曾向TechCrunch表示，Braintrust就像是“工程师构建AI软件的操作系统”，能够为工程师提供高效的AI开发辅助服务。这家初创公司发展势头迅猛，在今年2月份刚刚完成了8000万美元的B轮融资，融资后估值达到8亿美元，成为AI领域备受关注的初创企业之一。

对于此次安全事件的潜在影响，网络安全初创公司Nudge Security的联合创始人Jaime Blasco也给出了看法。他收到Braintrust的泄露邮件警报后告诉TechCrunch，该事件可能会“对受影响的客户产生下游影响”，尤其是那些依赖Braintrust平台开展业务的AI公司，其业务运营可能会受到间接波及。

事实上，此类针对云服务或第三方平台企业账户的攻击并不罕见。黑客往往将这类账户作为攻击目标，以此作为窃取API密钥等核心机密的有效途径。一旦黑客获取了API密钥，就能够以合法用户的身份登录公司或客户的系统，无需直接闯入目标公司的核心系统，就能实现信息窃取或恶意操作，隐蔽性极强。

这并非行业内首次发生类似事件。2023年，为软件工程师提供开发产品服务的CircleCI就曾遭遇类似的云数据泄露事件，当时攻击者通过在员工笔记本电脑上部署恶意软件，窃取会话cookie并模拟员工访问，进而获取客户机密，CircleCI当时也同样要求所有客户轮换存储在该公司的“所有及任何机密”，并采取了关闭攻击媒介、增加安全层等应对措施。

更近期，欧盟一家网络安全机构披露，黑客通过针对开源安全工具Trivy的供应链攻击，获取了欧盟委员会使用的AWS账户API密钥，进而窃取了92GB的压缩数据（约340GB未压缩）。该泄露事件影响广泛，波及其他29个欧盟实体以及数十个欧盟委员会内部客户，泄露内容包括邮件文件、姓名列表、用户名和邮箱地址等敏感信息，凸显了云账户安全和API密钥保护的重要性。

目前，Braintrust仍在全力调查此次安全事件的具体原因，后续将如何进一步强化安全防护、避免类似事件再次发生，以及事件是否会对其业务发展和客户信任产生长期影响，仍有待进一步观察。此次事件也再次为AI行业敲响警钟，在技术快速发展的同时，网络安全防护和客户机密保护不容忽视。