AI-платформа Braintrust предупредила клиентов о возможной компрометации API-ключей, которые компании хранили в сервисе для доступа к моделям ИИ. Инцидент обнаружили 4 мая после сообщения о подозрительной активности, а уже 5 мая Braintrust разослала клиентам письмо с индикаторами компрометации и шагами по защите, которые нужно предпринять. Компания утверждает, что затронутая среда изолирована, внутренние секреты заменены, а расследование продолжается.
Braintrust — платформа для оценки, отладки и наблюдения за ИИ-приложениями. Её используют команды, которые строят продукты на больших языковых моделях: тестируют ответы, сравнивают версии промптов, отслеживают качество, стоимость и поведение моделей. Для такой работы сервису часто передают ключи к сторонним AI-провайдерам — например, к облачным моделям, через которые компания запускает свои эксперименты и продакшн-сценарии.
Именно эти ключи и стали главным риском инцидента. Braintrust сообщает, что злоумышленники получили несанкционированный доступ к одному из AWS-аккаунтов компании. В затронутой среде находились AI provider API keys — ключи, которые клиенты используют для обращения к моделям ИИ. Компания попросила всех клиентов заменить любые API-ключи, хранившиеся в Braintrust, даже если прямых признаков массового раскрытия пока не найдено.
SecurityWeek пишет, что после обнаружения инцидента Braintrust заблокировала скомпрометированный аккаунт, проверила связанные системы, ограничила доступ к ним, заменила внутренние секреты и начала расследование с привлечением специалистов по реагированию на инциденты. Уведомление клиентам также содержало индикаторы компрометации и рекомендации по устранению риска.
Просьба о ротации ключей отправлена всем клиентам. Ведь если среда могла содержать секреты разных организаций, безопаснее считать ключи потенциально раскрытыми и заменить их до появления подтверждённого злоупотребления. API-ключ в этом случае может открывать доступ к платным моделям ИИ, внутренним агентам, корпоративным интеграциям, логам запросов, лимитам, биллингу и данным, которые проходят через AI-пайплайн. Если такой ключ попадает к атакующим, они могут использовать его для чужих запросов, вытягивания доступных данных, разведки инфраструктуры или накрутки расходов.
Риск зависит от того, как клиент настроил ключ. Самый плохой вариант — долгоживущий ключ без ограничений, с широкими правами и доступом ко всем моделям или проектам. Более безопасный вариант — отдельные ключи для разных сред, лимиты по использованию, привязка к конкретным задачам, мониторинг расходов и возможность быстро отозвать доступ без остановки всей системы.
Braintrust попросила «каждого клиента» отозвать и заменить чувствительные ключи, которые хранились в сервисе. Издание также напоминает, что стартап в феврале привлёк $80 млн в раунде Series B при оценке $800 млн.
Инцидент демонстрирует новую проблему цепочек поставки в ИИ-разработке. Раньше компании чаще думали о секретах в GitHub, CI/CD, облаках и пакетных менеджерах. Теперь к этому списку добавились сервисы для оценки моделей, промпт-менеджмента, трассировки запросов, наблюдаемости и агентных сценариев. Они находятся рядом с ключами, логами и тестовыми данными, поэтому становятся привлекательной целью.
Для клиентов Braintrust минимальный набор действий сейчас — отозвать все ключи, которые хранились в сервисе, выпустить новые, проверить логи AI-провайдеров за период до и после 4 мая, посмотреть расходы, лимиты и необычные вызовы моделей. Также стоит проверить, не использовались ли одни и те же ключи в нескольких системах. Если использовались, ротацию нужно проводить шире, а не только в Braintrust.
Администраторам стоит отдельно проверить права новых ключей. Ротация без пересмотра доступа решает только часть проблемы. Новый ключ не должен наследовать старую ошибку: права «на всё», отсутствие лимитов, срока жизни и хранение в нескольких SaaS-сервисах без учёта владельца.
Braintrust обещает обновлять страницу Trust Center по мере появления новых данных. Причина компрометации AWS-аккаунта пока расследуется. Публичных данных о том, кто стоял за атакой, какие именно ключи были использованы и были ли запросы к сторонним AI-провайдерам после утечки, на момент публикации нет.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
