Braintrust遭未授權存取，要求用戶輪換AI供應商API金鑰

根據Braintrust公告，該公司是在5月4日接獲其中一個AWS帳號出現可疑行為的通報，調查後確認發生未授權存取。官方提到，可能受影響的是組織層級儲存在Braintrust的AI模型供應商機密憑證，也就是客戶用於連接外部AI模型服務的憑證。Braintrust稱，目前已鎖定遭入侵帳號，稽核並限制相關系統存取，同時輪換內部機密資訊，事故原因仍由事件回應專家調查中。

Braintrust並未說明是否有客戶金鑰實際外流，僅表示已與一名受影響客戶溝通，至今尚未發現更廣泛暴露的證據，但調查仍在進行。Braintrust發言人向外媒TechCrunch表示，出於謹慎考量通知所有客戶。

Braintrust主要提供AI應用的觀測、評測與改善工具，協助團隊追蹤生產環境中的模型輸出、提示詞、評測結果與品質變化。其官方文件顯示，Braintrust Gateway可透過統一API存取OpenAI、Anthropic、Google與AWS等模型供應商，使用者也可將AI供應商金鑰加入Braintrust，讓Gateway代為呼叫不同模型服務。

從Braintrust這次通報來看，未授權存取發生在Braintrust管理的AWS帳號，而受影響環境存放客戶設定的組織層級AI供應商機密憑證。Braintrust已要求客戶到組織層級AI模型供應商金鑰設定頁面，逐一輪換每個機密憑證，並到對應AI供應商管理頁面刪除或撤銷舊金鑰。Braintrust也要求客戶在完成輪換後，確認組織層級AI供應商設定頁面顯示相關金鑰已重新設定。