法国AI公司Mistral AI确认遭遇数据泄露事件。黑客组织TeamPCP窃取了该公司450个代码仓库,并在暗网以约2.5万美元的价格拍卖。该组织威胁称,若一周内无人购买,将免费公开全部数据。

此次攻击源于供应链污染。TeamPCP此前针对TanStack npm包发起名为"Mini Shai-Hulud"的攻击,该软件包周下载量超过1.77亿次。通过植入恶意代码,黑客窃取了开发者的凭证、云密钥和SSH密钥,进而渗透至Mistral的代码管理系统。

打开网易新闻 查看精彩图片

被盗数据约5GB,涉及模型训练、微调、基准测试及模型交付的内部源代码。TeamPCP声称这些内容包含实验性项目和未来规划的相关代码。

Mistral AI向BleepingComputer确认,黑客确实污染了部分SDK软件包,但强调"受影响数据不属于核心代码仓库"。公司声明称:"我们的托管服务、用户管理数据以及研究测试环境均未受到影响。"

暗网拍卖采用独家销售模式,仅一名买家可获得全部数据。TeamPCP同时向Mistral AI发出回购邀请,并将标价设为可协商的灵活价格。这一手法在近年数据勒索事件中较为典型——既向受害企业施压,也为其他买家提供竞价空间。

对Mistral而言,此次事件的实际损害尚难评估。虽然公司否认核心系统受损,但源代码泄露可能暴露其模型开发的技术路径和实验方向。在竞争激烈的AI赛道,这类信息对竞争对手具有情报价值。

事件也折射出AI基础设施的安全隐患。当开发者依赖大量开源组件构建系统时,单一软件包的污染可能引发连锁反应。TanStack的高下载量使其成为理想的攻击跳板,而凭证窃取则是穿透企业防线的关键一步。

目前Mistral尚未公开回应是否会支付赎金。随着一周期限临近,数据是否会被公开将成为观察该事件走向的关键节点。