DOGE 社区成员 Marko Elez 泄露 xAI 的 API 密钥

马尔科·埃莱兹 ，这位 25 岁的埃隆·马斯克旗下政府效能部 （DOGE）员工，拥有访问美国社会保障总署、财政部、司法部及国土安全部敏感数据库的权限。因此当得知埃莱兹先生上周末意外泄露了一个私钥——该密钥允许任何人直接与马斯克人工智能公司 xAI 开发的五十多个大型语言模型（LLMs）交互时，所有美国人都该对此深感"安心"。

图片来源：Shutterstock，@sdx15。

7 月 13 日，埃莱兹先生向 GitHub 提交了一个名为"agent.py"的代码脚本，其中包含了 xAI 的私有应用程序接口(API)密钥。这一私钥泄露事件最初由 GitGuardian 公司发现，该公司专门从事公共和专有环境中暴露密钥的检测与修复工作。GitGuardian 的系统持续扫描 GitHub 等代码仓库以发现暴露的 API 密钥，并向受影响用户发送自动警报。

安全咨询公司 Seralys  的"首席黑客官" 菲利普·卡图雷利表示，被泄露的 API 密钥可访问 xAI 使用的至少 52 个不同 LLM。清单中最新的 LLM 名为"grok-4-0709"，创建于 2025 年 7 月 9 日。

Grok 是由 xAI 开发并集成到 Twitter/X 平台的生成式 AI 聊天机器人 ，其底层依赖于这些及其他 LLMs（发布前对 Grok 的查询显示当前使用的是 2025 年 2 月推出的 Grok-3）。就在今天早些时候，xAI 宣布美国国防部将开始采用 Grok 作为价值高达 2 亿美元合同的一部分。该合同授予时间距离 Grok 开始输出反犹言论并提及阿道夫·希特勒还不到一周。

埃莱兹先生未回应置评请求。在卡图雷利通过电子邮件通知埃莱兹后不久，包含 xAI 私钥的代码仓库已被移除。但卡图雷利表示，被泄露的 API 密钥仍然有效且尚未被撤销。

"如果开发者连 API 密钥都无法保密，这让人不得不质疑他们如何处理更为敏感的政府机密信息，"卡图雷利向 KrebsOnSecurity 表示。

在加入 DOGE 之前， 马尔科·埃莱兹曾为马斯克的多家公司工作。他的 DOGE 职业生涯始于财政部，而一场关于 DOGE 访问财政部数据库的法律纠纷显示，埃莱兹曾违反该机构政策发送未加密的个人信息。

仍在财政部任职期间，埃莱兹因 《华尔街日报》 将其与鼓吹种族主义和社会达尔文主义的社交媒体帖子相关联而辞职。当副总统 J.D.万斯游说重新聘用埃莱兹时， 特朗普总统表示同意，马斯克随即恢复了他的职位。

自重新受聘为 DOGE 员工以来，埃莱兹接连获得多个联邦机构的数据库访问权限。TechCrunch 于 2025 年 2 月报道其就职于社会保障总署。三月时， 商业内幕发现埃莱兹作为 DOGE 特遣队成员被派驻劳工部 。

社交媒体个人资料中的马尔科·埃莱兹照片。

今年四月，《纽约时报》报道称埃莱兹曾在美国海关与边境保护局、移民与海关执法局(ICE)以及国土安全部任职。《华盛顿邮报》后续披露，埃莱兹在担任司法部 DOGE 顾问期间，曾获取移民审查行政办公室法庭与上诉系统(EACS)的访问权限。

埃莱兹并非首位公开 xAI 内部 API 密钥的 DOGE 员工：今年五月，KrebsOnSecurity 曾详细报道另一名 DOGE 员工在 GitHub 上泄露私人 xAI 密钥长达两个月，导致专为马斯克旗下公司（包括 SpaceX、特斯拉和 Twitter/X）内部数据定制的 LLMs 模型暴露。

卡图雷格利表示，当一个人连最基本的操作安全规范都无法遵守时，很难信任其接触政府机密系统的权限。

"一次泄露可能是失误，"他说。"但当同类型的敏感密钥一再暴露时，这就不仅是运气不佳，而是更深层的疏忽与安全文化缺失的迹象。"