AI evaluation startup Braintrust confirms breach, tells every customer to rotate sensitive keys

개요

AI 평가 스타트업 Braintrust는 고객 정보 유출 사고를 확인하고 모든 고객에게 민감한 API 키를 교체할 것을 권고했습니다.

주요 내용

* Braintrust는 고객 시크릿 유출 사고 발생 후 모든 고객에게 API 키를 취소하고 교체하도록 촉구했습니다.
* 고객에게 발송된 이메일에 따르면, Braintrust는 AWS 클라우드 계정 중 하나에 대한 "무단 접근"을 확인했으며, 해당 계정에는 고객이 클라우드 기반 AI 모델에 접근하는 데 사용되는 API 키가 포함되어 있었습니다.
* Braintrust는 현재까지 더 광범위한 노출 증거는 발견되지 않았다고 밝혔으나, 모든 고객에게 Braintrust에 저장된 API 키를 "순환(rotate)"하도록 요청했습니다.
* 이 보안 사고는 화요일 Braintrust 웹사이트에 공개되었으며, 회사는 사고를 통제하고 침해된 계정을 잠갔으며 관련 시스템에 대한 접근을 감사하고 제한했으며 내부 시크릿을 순환시켰다고 밝혔습니다.
* 침해 원인은 조사 중이며, Braintrust 대변인은 "만일의 경우를 대비하여" 고객에게 이메일을 보냈다고 설명했습니다.
* Braintrust는 AI 모델 및 제품을 모니터링하는 플랫폼을 제공하며, 개발자들이 AI 소프트웨어를 구축하는 데 사용되는 "운영 체제"와 유사한 역할을 한다고 합니다.

시사점

이 사고는 클라우드 서비스나 서드파티 플랫폼에서 API 키와 같은 시크릿을 탈취하는 해킹 공격의 위험성을 재확인하며, Braintrust와 같은 서비스를 이용하는 AI 기업들에게 즉각적인 보안 조치의 필요성을 강조합니다.