安全隐患
据蓝点网援引安全社区消息,新华三(H3C)旗下的「灵犀AI助手」在产品安装程序中明文暴露了大量大模型API凭据。这款产品对外宣称基于本地NPU运行,实际却在配置文件中硬编码了智谱AI、百度千帆、字节火山引擎等多家人工智能云服务平台的有效密钥。
安全研究人员于2026年1月底发现该漏洞并向H3C团队报告,然而官方直到5月初才将所有泄露凭据全部吊销,响应周期长达近3个月。
滞后原因分析
业界推测,H3C内部处置迟缓可能与多团队共用同一批API凭据有关。由于同一组密钥可能被多个业务线调用,官方需要时间彻底排查影响范围并完成替换,才能安全切断泄露的密钥。
行业背景
据绿盟科技星云实验室统计,仅2025年1至2月期间,全球就集中爆发了五起大模型相关数据泄露事件,包括模型聊天记录、API密钥、凭证等敏感信息外泄。此类事件不仅暴露企业在AI技术应用中的安全盲区,也敲响了「AI驱动型风险」的警钟。
值得注意的是,API密钥泄露带来的财务风险绝非儿戏。今年早些时候,某三人创业团队因Gemini API密钥被盗,在48小时内被收取高达8.2万美元(约合人民币56万元)的账单,濒临破产边缘。
风险评估
此次H3C灵犀助手事件未引发大规模盗刷,原因是该产品用户基数较小,未被攻击者重点关注。倘若类似泄露发生在用户量更大的AI产品上,攻击者可能借此调用厂商大模型API产生巨额账单,或进一步横向移动获取其他敏感数据。
专家提醒,企业在部署AI应用时,应严格避免在代码或配置文件中硬编码密钥,优先采用环境变量或密钥管理服务存储凭证,并建立异常调用监控机制。