暴露的数据暴露了两名员工工作站的磁盘备份，其中包含机密、私钥、密码和超过 30,000 条内部 Microsoft Teams 消息。

“研究人员使用名为SAS令牌的Azure功能共享他们的文件，该功能允许你共享来自Azure存储帐户的数据。访问级别只能限制为特定文件;但是，在本例中，链接配置为共享整个存储帐户，包括另外 38TB 的专用文件。

Wiz 研究团队在扫描互联网以查找配置错误的存储容器时发现了该存储库，这些容器暴露了云托管数据。专家们在GitHub上找到了一个名为robust-models-transfer Microsoft组织的存储库。

该存储库属于Microsoft的AI研究部门，该部门使用它为图像识别提供开源代码和AI模型。Microsoft人工智能研究团队于 2020 年 7 月开始发布数据。

Microsoft使用 Azure SAS 令牌来共享存储在其研究团队使用的 Azure 存储帐户中的数据。

用于访问存储库的 Azure 存储签名 URL 被错误地配置为授予对整个存储帐户的权限，从而公开了专用数据。

“但是，此URL允许访问的不仅仅是开源模型。它被配置为授予对整个存储帐户的权限，错误地暴露了其他私有数据。“共享AI数据集的简单步骤导致了重大数据泄漏，其中包含超过38TB的私人数据。根本原因是使用帐户 SAS 令牌作为共享机制。由于缺乏监控和治理，SAS令牌构成了安全风险，它们的使用应尽可能有限。Wiz指出，SAS令牌不容易跟踪，因为Microsoft没有提供在Azure门户中管理它们的集中方式。

Microsoft表示，数据线索没有暴露客户数据。“没有暴露任何客户数据，也没有其他内部服务因此问题而面临风险。不需要客户操作来响应此问题，“Microsoft发布的帖子中写道。

以下是此安全事件的时间表：

2020 年 7 月 20 日 – SAS 令牌首次提交到 GitHub；到期日设置为 2021 年 10 月 5 日

2021 年 10 月 6 日 – SAS 令牌到期日更新至 2051 年 10 月 6 日

2023 年 6 月 22 日 – Wiz Research 发现并向 MSRC 报告问题

2023 年 6 月 24 日 – SAS 令牌因 Microsoft 无效

2023 年 7 月 7 日 – GitHub 上替换了 SAS 令牌

2023 年 8 月 16 日 – Microsoft 完成对潜在影响的内部调查

2023 年 9 月 18 日 – 公开披露

声明：内容参考securityaffairs，版权归作者所有。文章内容仅代表作者独立观点，不代表本站立场，转载目的在于传递更多信息。如有侵权，请联系本站处理。

白皮书梳理了AI大模型的内涵，介绍了AI大模型对经济社会发展的意义，系统分析了AI大模型发展的总体态势、关键要素发展现状，详细探究了未来发展趋势，并提出了对策建议，旨在为各界展现AI大模型发展全貌，为驱动AI大模型发展提供新思路。

白皮书首先对AI大模型进行了内涵界定，并指出AI大模型成为推动生产、生活方式变革，助推产业智能化转型升级，驱动数字经济高质量发展等社会经济发展方面的新引擎。

白皮书认为，随着ChatGPT应用的现象级火爆，AI大模型呈现出快速发展趋势，正在掀起新一轮人工智能发展浪潮，大模型基座化或将重塑人工智能产业链和全球市场竞争格局。在技术方面，大模型在交互、理解、生成等方面性能实现大幅提升。在产业发展方面，国内外互联网巨头、初创企业及科研院所纷纷围绕自身业务研发基础大模型，并积极布局相关领域行业大模型，在赋能实体经济方面发挥了正向作用。

从发展的总体态势来看，一是各国密集出台大模型相关政策；二是数据、算力、算法更新迭代步伐加快，共同驱动AI大模型性能提升；三是AI大模型走出“闭源”和“开源”两种发展路径，各类企业和机构纷纷入局；四是AI大模型人才竞争白热化，企业、高校、科研院所争相引进相关专家；五是围绕AI大模型的生态建设初步形成，标准制定、评估评测、公共服务平台等服务能力加速构建；六是AI模型引发新一轮人工智能投资热潮，投资方包含微软、谷歌、英伟达、腾讯、美团等国内外科技巨头和行业龙头。

从关键要素发展现状来看，在基础支撑方面，一是AI大模型训练数据需求激增，高质量数据集成为AI大模型进化的关键支撑；二是AI大模型对算力需求指数级增长，高性能算力是AI大模型发展加速器；三是Transformer奠定了AI大模型进化基础，拉开了AI大模型时代序幕；四是AI大模型工具链相继涌现，降低AI大模型训练和调优门槛。在模型应用方面，一是科技巨头凭借数据、算力优势，着力构建AI大模型底座；二是人工智能企业和传统企业凭借行业数据优势，积极锤炼行业大模型；三是场景大模型成为企业应用创新突破口，激发了创新热情和创造活力。

同时也应注意到，AI大模型快速传递并极速放大安全风险，面对AI大模型带来的安全风险挑战，加强人工智能监管新规则的研究和探索迫在眉睫。多个国家或地区积极研究治理方案，在数据安全、偏见歧视和知识产权保护等领域先行起步。

从发展趋势来看，AI大模型将成为具有泛化能力的模型底座、不同领域的共性平台技术，重塑人工智能产业链格局，成为迈向通用人工智能的重要探索。高质量的数据、算法、算力将引领新一轮发展热潮，人工智能的竞争重点将从技术创新拓展至生态构建。针对AI大模型治理的需求愈加紧迫，各国人工智能治理政策将快速升级迭代，覆盖全生命周期、具有可操作性的人工智能安全风险治理体系将进一步完善。

白皮书建议，一是持续推进大模型关键核心基础技术协同创新攻关；二是全面夯实算法、算力、数据等高质量发展根基；三是深入推进面向AI大模型的“大场景”创新与开放；四是统筹推进AI大模型安全可信发展。

投稿部门：人工智能所

文章作者：梁冬晗

声明：本文来自国家工业信息安全发展研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。