DOGE员工Marko Elez泄露xAI API密钥

2025年7月14日

Marko Elez，25岁，是埃隆·马斯克政府效率部（DOGE）的员工，已被授予访问美国社会保障管理局、财政部、司法部和国土安全部敏感数据库的权限。因此，当得知Elez先生上周末无意中发布了一个私人密钥，允许任何人直接与马斯克人工智能公司xAI开发的50多个大型语言模型（LLM）交互时，所有美国人都应深感担忧。

7月13日，Elez先生向GitHub提交了一个名为“agent.py”的代码脚本，其中包含xAI的私人应用程序编程接口（API）密钥。该私人密钥的包含首先由GitGuardian标记，这是一家专门检测和修复公共和专有环境中暴露秘密的公司。GitGuardian的系统不断扫描GitHub和其他代码库以查找暴露的API密钥，并向受影响的用户发送自动警报。

安全咨询公司Seralys的“首席黑客官”Philippe Caturegli表示，暴露的API密钥允许访问xAI使用的至少52种不同的LLM。列表中最新的LLM名为“grok-4-0709”，创建于2025年7月9日。

Grok是由xAI开发并集成到Twitter/X中的生成式AI聊天机器人，依赖于这些和其他LLM（发布前对Grok的查询显示，Grok目前使用2025年2月推出的Grok-3）。今天早些时候，xAI宣布国防部将开始使用Grok作为价值高达2亿美元合同的一部分。该合同授予不到一周后，Grok开始发表反犹太言论并引用阿道夫·希特勒。

Elez先生没有回应置评请求。包含私人xAI密钥的代码库在Caturegli通过电子邮件通知Elez后不久被删除。然而，Caturegli表示，暴露的API密钥仍然有效，尚未被撤销。

“如果开发人员无法保持API密钥的私密性，这就引发了关于他们如何幕后处理更敏感的政府信息的问题，”Caturegli告诉KrebsOnSecurity。

在加入DOGE之前，Marko Elez曾为马斯克的多家公司工作。他的DOGE职业生涯始于财政部，一场关于DOGE访问财政部数据库的法律斗争显示，Elez违反机构政策发送未加密的个人信息。

在财政部期间，《华尔街日报》将他与倡导种族主义和优生学的社交媒体帖子联系起来后，Elez辞职。当副总统J.D. Vance游说重新聘用Elez时，特朗普总统同意，马斯克恢复了他的职位。

自重新聘用为DOGE员工以来，Elez被授予访问一个又一个联邦机构数据库的权限。TechCrunch在2025年2月报道称，他在社会保障管理局工作。3月，Business Insider发现Elez是分配到劳工部的DOGE分遣队的一部分。

4月，《纽约时报》报道称，Elez在美国海关和边境保护局、移民和海关执法局（ICE）以及国土安全部担任职务。《华盛顿邮报》后来报道称，Elez在司法部担任DOGE顾问期间，获得了访问移民审查执行办公室法院和上诉系统（EACS）的权限。

Elez不是第一个发布xAI内部API密钥的DOGE员工：5月，KrebsOnSecurity详细介绍了另一名DOGE员工如何在GitHub上泄露私人xAI密钥两个月，暴露了为处理马斯克公司（包括SpaceX、特斯拉和Twitter/X）内部数据而定制的LLM。

Caturegli表示，当某人甚至无法管理操作安全的基础时，很难信任他们访问机密政府系统。

“一次泄漏是错误，”他说。“但当同一类型的敏感密钥一次又一次暴露时，这不仅仅是运气不好，这是更深层次疏忽和安全文化破裂的标志。”

评论摘要

• William Cochran：马斯克和特朗普只雇佣最优秀的人。怀疑他粗心大意和危险的安全漠视会有任何后果。
• Ange：可怕。会听到政府数据库数据外泄的消息吗？如何“撤销”API密钥？
• Marty Barron：这是一个流程问题。需要改进GitHub代码发布流程以避免此类错误。
• Ham：批评文章带有政治偏见，但作者Brian Krebs回应称这不是左右政治故事。
• VoiceOfReason：“任何足够先进的无能都与恶意无异。”这种网络安全粗心大意超出了监督和经验不足。
• 其他评论涉及对安全漏洞的担忧、政治讨论和对Elez行为的批评。