DOGE Denizen Marko Elez Leaked API Key for xAI

July 14, 2025

Marko Elez，一位25岁的员工，在Elon Musk的政府效率部门（DOGE）工作，已被授予访问美国社会保障管理局、财政部、司法部和国土安全部敏感数据库的权限。因此，当得知Elez先生上周末无意中发布了一个私有密钥，允许任何人直接与Musk的人工智能公司xAI开发的超过50个大语言模型（LLMs）交互时，所有美国人都应充满深深的信心。

图片：Shutterstock, @sdx15。

7月13日，Elez先生向GitHub提交了一个名为“agent.py”的代码脚本，其中包含xAI的私有应用程序编程接口（API）密钥。私有密钥的包含首先由GitGuardian标记，这是一家专门检测和修复公共和专有环境中暴露秘密的公司。GitGuardian的系统不断扫描GitHub和其他代码仓库以查找暴露的API密钥，并向受影响的用户发送自动警报。

安全咨询公司Seralys的“首席黑客官”Philippe Caturegli表示，暴露的API密钥允许访问xAI使用的至少52种不同的LLMs。列表中最新的LLM名为“grok-4-0709”，创建于2025年7月9日。

Grok，由xAI开发并集成到Twitter/X中的生成式AI聊天机器人，依赖这些和其他LLMs（发布前对Grok的查询显示Grok当前使用Grok-3，该模型于2025年2月推出）。今天早些时候，xAI宣布国防部将开始使用Grok作为价值高达2亿美元合同的一部分。该合同授予不到一周前，Grok开始发表反犹太言论并引用Adolf Hitler。

Elez先生没有回应评论请求。包含私有xAI密钥的代码仓库在Caturegli通过电子邮件通知Elez后不久被移除。然而，Caturegli表示，暴露的API密钥仍然有效，尚未被撤销。

“如果开发人员无法保持API密钥私有，这就引发了关于他们如何在闭门处理更敏感的政府信息的问题，”Caturegli告诉KrebsOnSecurity。

在加入DOGE之前，Marko Elez曾为Musk的多家公司工作。他的DOGE职业生涯始于财政部，一场关于DOGE访问财政部数据库的法律斗争显示，Elez违反机构政策发送未加密的个人信息。

仍在财政部时，Elez在《华尔街日报》将他与倡导种族主义和优生学的社交媒体帖子联系起来后辞职。当副总统J.D. Vance游说重新雇佣Elez时，特朗普总统同意，Musk重新聘用了他。

自重新雇佣为DOGE员工以来，Elez被授予访问一个又一个联邦机构数据库的权限。TechCrunch在2025年2月报道称，他在社会保障管理局工作。3月，Business Insider发现Elez是分配给劳工部的DOGE分遣队的一部分。

Marko Elez，社交媒体个人资料照片。

4月，《纽约时报》报道称，Elez在美国海关和边境保护局、移民和海关执法局（ICE）以及国土安全部担任职位。《华盛顿邮报》后来报道称，Elez在司法部担任DOGE顾问期间，获得了访问移民审查执行办公室的法院和上诉系统（EACS）的权限。

Elez不是第一个发布xAI内部API密钥的DOGE员工：5月，KrebsOnSecurity详细描述了另一名DOGE员工如何在GitHub上泄露私有xAI密钥两个月，暴露了为处理Musk公司（包括SpaceX、Tesla和Twitter/X）内部数据而定制的LLMs。

Caturegli表示，当某人甚至无法管理操作安全的基础时，很难信任他们访问机密政府系统。

“一次泄露是错误，”他说。“但当同一类型的敏感密钥一次又一次暴露时，不仅仅是坏运气，这是更深层次疏忽和破碎安全文化的标志。”

这篇文章发布于2025年7月14日星期一晚上9:23

类别：A Little Sunshine, Data Breaches, DOGE, The Coming Storm 标签：Business Insider, DOGE, GitGuardian, GitHub, Grok, Marko Elez, Philippe Caturegli, President Trump, Seralys, Techcrunch, The New York Times, The Wall Street Journal, The Washington Post, twitter, Vice President J.D. Vance, X, xAI

文章导航

• ← UK Arrests Four in ‘Scattered Spider’ Ransom Group
• Poor Passwords Tattle on AI Hiring Bot Maker Paradox.ai →

61条关于“DOGE Denizen Marko Elez Leaked API Key for xAI”的评论

William Cochran 2025年7月14日
Musk和Trump只雇佣最优秀的人。我怀疑他粗心大意和危险地忽视安全会有任何后果。
回复→

Tim 2025年7月15日
当那些应该处理后果的人无知、凌驾于法律之上、不会做错事，并且不在乎他们伤害了谁，甚至当他们伤害自己时，就不会有后果。
回复→

mealy 2025年7月15日
“俄罗斯人没有计划就不会轻举妄动，儿子。”
-前美国总统候选人Fred Thompson，‘表演中’
“一次ping，只一次ping。” 然后发送两次ping。
每个人都知道你不能信任Marko Buckaroo。
回复→

What_Me_Worry? 2025年7月15日
看起来现在我们有Alfred E. Neuman在主持节目…
回复→

Fr00tL00ps 2025年7月17日
现在那只是MAD…当我看到这条评论时，我差点尿裤子！
回复→

Howlin’ Nate 2025年7月17日
Alfred E. Neuman当总统！我们可能会更糟。
回复→

What_Me_Worry? 2025年7月17日
出生时就分开了…对吧？
回复→

Ange 2025年7月14日
天哪…令人震惊。我们会听到政府数据库数据外泄的消息吗，还是现在每个人都在破坏团队中？
只有一个问题；你怎么“撤销”一个API密钥？替换可能吗？（撤销对于X.509公钥是可能的）
回复→

Dave M 2025年7月14日
希望应用程序有办法拒绝该密钥。我不是开发人员，但你可以有一个拒绝列表，并拒绝来自拒绝列表中密钥的任何连接。同时终止使用该密钥的任何活动会话。
回复→

Guillaume Seguin 2025年7月15日
@Dave M 是的，这就是你如何做。有一个活动密钥列表，你从列表中移除受损密钥。如果没有快速完成，那可能是因为“难以更改”（在多个地方硬编码）或者密钥所有者不在乎。更糟的是，他们可能认为既然它被“移除”了，就又安全了。
回复→

little peanut 2025年7月15日
记得在“如此可怕的安全”的旧时代，即1990年代到2000年代末，许多防火墙规则实际上要求IP匹配密钥才能连接到应用程序。我猜他们不再这样做了，因为现在一切都如此网络化。LMAiO。
回复→

Wayne 2025年7月15日
已经有数据被外泄到俄罗斯的证据。很早就开始了，我相信是从财政部。它被检测到并关闭了。
回复→

AJ North 2025年7月14日
也许一些有进步倾向的进取黑客会获取并泄露当前政权的个人财务，从Tangerine Caligula（及其整个家庭）、Hillbilly Vance和整个内阁开始——一直到最高法院的五名共和党任命者（五名由输掉普选票的总统任命）。
回复→

JA South 2025年7月15日
叫别人名字让你自我感觉更好吗？
回复→

JA South’s conscience 2025年7月15日
哭得更厉害点，magat。
回复→

AJ North 2025年7月15日
“叫别人名字让你自我感觉更好吗？”
哦，你是指像那个被定罪的 felon – 和被 adjudicated 的强奸犯 – 几乎每天做的那样（使用粗俗、恶心和淫秽的语言，句子 barely coherent，语法会让小学生尴尬）？
回复→

JA South 2025年7月15日
叫别人名字让你自我感觉更好吗？
回复→

Peter Aretin 2025年7月15日
第三次重复以增强效果。
回复→

Billy Joe 2025年7月14日
当你的宠物比格犬比政府中最聪明的人更聪明时，这很糟糕。
回复→

SilverMarc 2025年7月14日
年轻、愚蠢、充满渣滓。
回复→

CJ 2025年7月15日
DOGGY DUMB。
回复→

mealy 2025年7月15日
bleepingcomputer.com/news/security/russian-pro-basketball-player-arrested-for-alleged-role-in-ransomware-attacks/
Marko甚至不能扣篮。
回复→

Concerned Reader 2025年7月15日
“因此，当得知Elez先生上周末无意中发布了一个私有密钥时，所有美国人都应充满深深的信心”
我曾经读你的文章是因为其无偏见的性质。现在我感觉像在读Foxnews或CNN的文章。
悲伤…。
回复→

Disputoincognito 2025年7月15日
啊是的，神圣的中立测试：如果某事轻微不便我的世界观，它必须是宣传。看，如果你的政治指南针如此摇摆不定，以至于一份网络安全报告让你哭喊“党派攻击文章”，也许不是文章…
Brian literally 报道了一个家伙泄露私有密钥，而你将其解释为政治背叛。那不是偏见，那是你将你自己的部落镜头投射到现实中，就像Rorschach测试一样。但当然，让我们取消Krebs因为…报道新闻。经典。
回复→

bob 2025年7月15日
想知道你对一份关于常规公务员重复巨大通信安全失误的报告会有什么反应？
回复→

TC 2025年7月15日
那个陈述中哪里有偏见？
回复→

Mizunderstood 2025年7月15日
我100%同意你，有些人就是无法控制自己
回复→

mealy 2025年7月15日
我也担心你的阅读能力。
回复→

Bro 2025年7月16日
随你怎么说，但Krebs多年来一直 relentlessly 一致…从 whichever side 他们来自 calling out 网络威胁。
回复→

Joe Blow 2025年7月17日
那个陈述中有什么偏见？对 blatant incompetence among those with access to enormous troves of sensitive information 的偏见？是的，我猜我们很多人都有偏见。我们应该更仔细地检查我们的偏见…
回复→

Marty Barron 2025年7月15日
我认为我们正在看一个过程问题。确实安全方面涉及，但问题的根源是他们用于在GitHub上发布代码的过程，他们需要改进过程以避免这种错误。
回复→

Brad Ackerman 2025年7月15日
选择供应商并给他们信用卡号比实际启用仓库治理花费更长时间。提交前秘密扫描和第二批准人 enforcement 是任何人对生产应该有的 bare minimum。
回复→

Ham 2025年7月15日
Brian，你曾经是无党派和非政治的，但现在我们看到你的真实颜色显现。发布这些所谓专家的 screw ups 是可以的，但当你加入愚蠢的政治讽刺时，它毁了文章。太糟糕了；你的文章曾经值得一读。
回复→

BrianKrebs 文章作者 2025年7月15日
不确定你怎么得出这 somehow 是一个关于右/左政治的故事的结论。尽管如此，我 release you from your subscription。保重。
回复→

DWalton 2025年7月15日
我没有看到你的报告中有“政治讽刺”，如先前评论所述。
我确实看到一份关于 sloppy incompetence，或更糟， criminal behavior with critical consequences for all of us 的报告。
报告它是重要的，无论谁可能被冒犯或 sloppy criminals 与谁 connected to。继续调查和报告，Brian。
回复→

mealy 2025年7月15日
Ham 只是在哭闹。如果他的抱怨如此薄弱，他的皮肤一定像 rice paper。
回复→

Sh3 2025年7月15日
他们希望你是一个“新闻记者”，发布“只是事实”，一旦你作为专家给出意见，它突然 cross the line，好像他们自己无法得出结论，这显然是情况。继续 good work。
回复→

Disputoincognito 2025年7月15日
哦不！Brian使用了 sarcasm。拉响警报！显然，指出政府官员泄露API密钥可能不会 instill public confidence 现在是一个 full-blown political manifesto。不可思议。
但感谢你勇敢地 calling out this injustice。真正地，这里真正的受害者是你的 feelings。不是 compromised API key，不是 laughable opsec 不，是你，因为 Brian dared to say something that vaguely pricked your partisan bubble。保持坚强，士兵。
回复→

LEGEND_API 2025年7月15日
真的 ham！！看到你缺乏阅读和理解是惊人的。你是这个国家的问题。当你这样的人试图 politicize everything。事实是事实，习惯它 dude
回复→

rowan hoeren 2025年7月15日
哦，不，你的 feelings 受伤了吗，snowflake？
对当前政府缺乏 professionalism 感到 appalled 的真实颜色？
那是任何有 functioning brain 的人的颜色。
回复→

mealy 2025年7月15日
“Waaaah，他指出了特朗普政府的 incompetence and fraud，waaaaah。”
长大，baby。
回复→

LadsOnToure 2025年7月16日
文章中的政治讽刺是什么？
回复→

DK 2025年7月16日
只是好奇 Ham， when did careless idiots become a political party，更好的是， one free from criticism of their misdeeds？
回复→

Joe Blow 2025年7月17日
“…when did careless idiots become a political party…”
很难指出具体日期，但 sometime around when Trump started winning primaries in the 2016 race。
…现在 THAT 是愚蠢的政治讽刺。看到区别了吗，Ham？
回复→

Ddog 2025年7月15日
Brian，感谢报道。报道关于API密钥泄露和最高级别安全失误的不便事实被视为政治是悲伤的。
继续 good work。
回复→

Mat 2025年7月15日
我想这个人会在被发现的那一刻被移除。这不仅 extremely dangerous 而且看起来像 malicious actor。任何在科技领域的人，这看起来和感觉像 malicious inside actor。这个人需要被移除和调查。
回复→

Matt 2025年7月15日
这个人看起来像 malicious actor。我们科技领域担心的事情。他应该被移除和调查。你不会 accidentally do this sort of thing。这是 deliberate act，它将是调查的 grounds。
回复→

Brad Ackerman 2025年7月15日
如果他想授予3PLA访问权限，他可以 just grant their users access to the model or email them the API keys。这种行为 totally consistent with the incompetent chūni clowns in Elon’s entourage。
回复→

mealy 2025年7月15日
“grounds for investigations”
哦，Pam Bondi和Kash Patel会放下他们的Nintendo Switch并立即处理，我确定。
回复→

Charles 2025年7月15日
在Brian earlier reports 中，他的来源 noted within minutes of DOGE folks being given administrator access there was at least one login from an IP geolocated to Moscow（如果 memory serves me correctly）。它 passes the “reasonable person on the street test” that government systems have been breached, data exfiltrated, and stealthware installed, courtesy the carelessness of DOGE staffers。他们似乎不是 draw 中最锋利的刀，而且， ironically，我想知道他们中有多少人会 omit “Worked for DOGE” from their LinkedIn bios？
回复→

ReadandShare 2025年7月16日
所以这孩子是某种 careless/incompetent 的组合，但这个政府 demanded 的一种品质，他 likely has in spades：loyalty/obedience！他有一个 fine career ahead of him – 或至少 next 3.5 years。
回复→

mealy 2025年7月16日
别忘了 hateful racial supremacist / nazi propaganda。
newsweek.com/fact-check-donald-trump-adolf-hitler-viral-quote-comparison-accurate-1843501
回复→

Rich 2025年7月17日
是的，我想象他们是DHS/ICE的非常高度信任的承包商，搜索所有政府数据库以 targeting ethno-cities or whatever。Im ursprünglichen Chelsea Football Trikot ist alles legal。
回复→

Charles 2025年7月17日
这家伙不是因为 online 说 pretty racist stuff 被 fired 了吗？
回复→

Charles 2025年7月17日
这家伙不是因为 online 说 pretty racist stuff 被 fired 了吗？
回复→

Joe Blow 2025年7月17日
是的。然后他通过Musk和Trump的 collaboration 重新雇佣（ back before their bromance ended），Vance chiming in 以避免感觉被排除在 pro-eugenics bandwagon 之外。
回复→

mealy 2025年7月22日
优生学，遗传学，它都 kinda futuristic 对吧？即使是时间旅行者也容易犯错。
回复→

VoiceOfReason 2025年7月17日
“任何 sufficiently advanced incompetence 与 malice 无法区分。” 在某种程度上，这种围绕网络安全的 carelessness goes beyond oversight and inexperience。它必须被应该知道 better 的人 winked at and excused。Homie should have stayed fired，因为他 obviously has no business handling classified/sensitive information。如果他为任何私人企业工作，他早就被 handed his hat – 但这个‘组织’（我 ironically 使用该术语）似乎 happy to let him continue。作为 taxpayer，我被 offended。作为 IT professional，我被 appalled。
回复→

BvR 2025年7月17日
Trump said he never hires anybody smarter than himself。
Very, very few qualify。
回复→

RandomProgrammer 2025年7月19日
这 gotta be some kind of criminal negligence。
Storytime：我在一家国防部承包商做软件工程 summer internship。On Day 1，我被 told in