OpenClaw—AI研究人工智能开发平台Braintrust近日因发生数据安全事件,紧急要求所有受影响用户立即轮换API访问密钥。这一事件再次提醒业界:在AI应用快速普及的当下,API密钥管理正在成为企业数据安全的最薄弱环节之一。
Braintrust是一个面向AI开发者的平台,提供模型评测、提示词管理和应用评估等工具。事件起因是平台在一次安全审计中发现部分API密钥可能已被未授权访问。值得注意的是,API密钥一旦泄露,攻击者即可在开发者账号权限范围内调用平台资源——包括可能包含敏感提示词、业务数据或用户交互记录的内容。
安全研究人员指出,AI平台的API密钥与传统软件API密钥存在一个关键差异:AI API调用往往包含大量业务上下文——从提示词模板到向量数据库的检索内容,从用户问题到生成的回复片段。每一轮API调用记录都可能被攻击者用于提取有价值的商业机密或训练数据。这意味着AI平台的密钥泄露后果比传统软件平台更为严重。
此次事件还暴露出AI开发社区在安全实践上的普遍滞后。许多开发者在将AI功能集成到产品中时,重点关注模型效果和响应质量,却忽视了API密钥的动态轮换机制、日志审计以及最小权限原则。部分开发者甚至将长期有效的API密钥直接写入代码仓库,导致泄露风险成倍放大。
Braintrust事件为整个AI开发生态敲响了警钟。平台方需要提供更完善的密钥管理基础设施,包括强制密钥轮换提示、异常调用检测和告警机制;而开发者一侧,也需要将API安全纳入AI应用开发的必要流程,而非在功能上线后才考虑。此次事件预计将推动AI平台行业在API安全规范上的新一轮标准化讨论。
