GitHub上一个看似普通的开源代码库,成了微软这三年来最大的安全盲区。Wiz研究院的安全员上周例行扫描时,发现微软AI研究部门上传的数据集里,直接嵌着38TB的敏感文件——不是加密存储,不是权限隔离,是任何人点一下下载链接就能全部拖走的裸奔状态。

这批数据从2020年开始就挂在那里。里面装着微软员工的服务器密码、私有密钥、还有3万多条内部Teams消息的存档。Wiz团队打了个比方:就像有人把公司保险柜的钥匙和门牌号一起贴在了小区公告栏上,路过的人顺手就能开门。

微软安全响应中心事后确认问题属实,「我们在调查中发现,一个SAS令牌配置错误导致了这次数据暴露」。这个令牌原本是用于分享AI训练数据的,有效期却被设成了无限期,权限也开到了最大档。

讽刺的是,出事的代码库属于微软的「Responsible AI」项目——一个专门研究如何让AI更安全、更可控的团队。他们写的论文标题里满是「robustness」「trustworthiness」,结果自己的数据治理先翻了车。

Wiz研究员在博客里补了一句:这种级别的配置错误,在云平台监控日志里其实很容易发现,但三年里显然没人仔细看过。微软目前已撤销该令牌,称没有证据表明数据被恶意访问。至于那3万多条Teams消息里有没有更尴尬的内容,双方都没再提。