Daily Archives: May 1, 2025

xAI Dev Leaks API Key for Private SpaceX, Tesla LLMs

Posted on by

A employee at Elon Musk’s artificial intelligence company xAI leaked a private key on GitHub that for the past two months could have allowed anyone to query private xAI large language models (LLMs) which appear to have been custom made for working with internal data from Musk’s companies, including SpaceX, Tesla and Twitter/X, KrebsOnSecurity has learned.

Image: Shutterstock, @sdx15.

Philippe Caturegli, “chief hacking officer” at the French security consultancy Seralys, was the first to publicize the leak of credentials for an x.ai application programming interface (API) exposed in the GitHub code repository of a technical staff member at xAI.

Caturegli’s post on LinkedIn caught the attention of researchers at GitGuardian, a company that specializes in detecting and remediating exposed secrets in public and proprietary environments. GitGuardian’s systems constantly scan GitHub and other code repositories for exposed API keys, and fire off automated alerts to affected users.

GitGuardian’s Eric Fourrier told KrebsOnSecurity the exposed API key had access to several unreleased models of Grok, the AI chatbot developed by xAI. In total, GitGuardian found the key had access to at least 60 distinct data sets.

“The credentials can be used to access the X.ai API with the identity of the user,” GitGuardian wrote in an email explaining their findings to xAI. “The associated account not only has access to public Grok models (grok-2-1212, etc) but also to what appears to be unreleased (grok-2.5V), development (research-grok-2p5v-1018), and private models (tweet-rejector, grok-spacex-2024-11-04).”

Fourrier found GitGuardian had alerted the xAI employee about the exposed API key nearly two months ago — on March 2. But as of April 30, when GitGuardian directly alerted xAI’s security team to the exposure, the key was still valid and usable. xAI told GitGuardian to report the matter through its bug bounty program at HackerOne, but just a few hours later the repository containing the API key was removed from GitHub.

“It looks like some of these internal LLMs were fine-tuned on SpaceX data, and some were fine-tuned with Tesla data,” Fourrier said. “I definitely don’t think a Grok model that’s fine-tuned on SpaceX data is intended to be exposed publicly.”

xAI did not respond to a request for comment. Nor did the 28-year-old xAI technical staff member whose key was exposed.

Carole Winqwist heads the research team at GitGuardian. Winquist said giving potentially hostile users free access to private LLMs is a recipe for disaster.

“If you’re an attacker and you have direct access to the model and the back end interface for things like Grok, it’s definitely something you can use for further attacking,” she said. “An attacker could it use for prompt injection, to tweak the (LLM) model to serve their purposes, or try to implant code into the supply chain.”

The inadvertent exposure of internal LLMs for xAI comes as Musk’s so-called Department of Government Efficiency (DOGE) has been feeding sensitive government records into artificial intelligence tools. In February, The Washington Post reported DOGE officials were feeding data from across the Education Department into AI tools to probe the agency’s programs and spending.

The Post said DOGE plans to replicate this process across many departments and agencies, accessing the back-end software at different parts of the government and then using AI technology to extract and sift through information about spending on employees and programs.

“Feeding sensitive data into AI software puts it into the possession of a system’s operator, increasing the chances it will be leaked or swept up in cyberattacks,” Post reporters wrote.

Wired reported in March that DOGE has deployed a proprietary chatbot called GSAi to 1,500 federal workers at the General Services Administration, part of an effort to automate tasks previously done by humans as DOGE continues its purge of the federal workforce.

A Reuters report last month said Trump administration officials told some U.S. government employees that DOGE is using AI to surveil at least one federal agency’s communications for hostility to President Trump and his agenda. Reuters wrote that the DOGE team has heavily deployed Musk’s Grok AI chatbot as part of their work slashing the federal government, although Reuters said it could not establish exactly how Grok was being used.

Caturegli said while there is no indication that federal government or user data could be accessed through the exposed x.ai API key, these private models are likely trained on proprietary data and may unintentionally expose details related to internal development efforts at xAI, Twitter, or SpaceX.

“The fact that this key was publicly exposed for two months and granted access to internal models is concerning,” Caturegli said. “This kind of long-lived credential exposure highlights weak key management and insufficient internal monitoring, raising questions about safeguards around developer access and broader operational security.”

from Krebs on Security https://ift.tt/QskB0zC
via IFTTT

Libreboot 25.04 llega soportando nuevas placas y últimos sistemas operativos

Posted on by

Libreboot 25.04

La versión 25.04 de Libreboot, identificada con el sobrenombre «Corny Calamity», ya está disponible para usuarios y entusiastas del firmware libre. Esta actualización no solo introduce un sistema de versionado renovado basado en el formato año.mes (YY.MM), sino que también marca un hito al ser la primera entrega en adoptar un nombre clave. Con ello, el proyecto avanza hacia una mayor claridad en su ciclo de lanzamientos y gestión de revisiones.

Libreboot continúa su desarrollo como un reemplazo de BIOS/UEFI completamente open source, orientado a usuarios que buscan deshacerse de firmware privativo en determinados equipos x86 y ARM. La comunidad destaca que esta edición 25.04 es una publicación de pruebas, recomendada especialmente para usuarios experimentados, ya que la siguiente versión estable llegará presumiblemente en junio.

Novedades esenciales de Libreboot 25.04

Entre los cambios reseñables de Libreboot 25.04 se encuentra la ampliación de la compatibilidad con nuevas placas base, entre las que destaca el soporte para el modelo Acer Q45T-AM. Además, tanto la G43T-AM3 como la Q45T-AM han recibido mejoras en su configuración y gestión de la región GbE, asegurando el correcto funcionamiento del puerto Ethernet y la detección del tamaño adecuado de la ROM.

El sistema de compilación ha sido actualizado y testeado en distribuciones punteras como Debian 12.10 «Bookworm», Debian Sid (incluyendo el último GCC 15), y Fedora 42, lo que facilita enormemente el trabajo tanto a usuarios como a desarrolladores. Este esfuerzo por asegurar la construcción sobre los entornos más modernos asegura que el proyecto se mantenga relevante y operativo.

Componentes y seguridad reforzada

En esta versión destacan importantes actualizaciones de componentes esenciales:

  • SeaBIOS actualizado a la revisión 9029a010 (marzo de 2025).
  • U-Boot actualizado (especialmente para dispositivos ARM64) a la versión 2025.04.
  • Se han incorporado también nuevas versiones de Coreboot, GRUB y Flashprog.
  • En GRUB se han fusionado 73 parches de seguridad (CVE), solucionando vulnerabilidades detectadas recientemente en los sistemas de arranque.

Asimismo, se han implementado varias correcciones para mejorar la robustez del sistema, desde la manipulación de la dirección MAC hasta la gestión de archivos de configuración y scripts de construcción. El sistema de padding en los archivos ROM distribuidos advierte a los usuarios para que no flasheen sin haber inyectado los datos necesarios del fabricante, reduciendo el riesgo de daño involuntario.

Cambios en la instalación y procesos de actualización

Al actualizar a Libreboot 25.04, es fundamental consultar la documentación oficial y seguir las instrucciones del proyecto. Se han añadido advertencias y mecanismos de seguridad para prevenir errores críticos durante la actualización, como el aviso “DO NOT FLASH” hasta completar todos los pasos necesarios.

Las mejoras en la interfaz de usuario hacen que la experiencia sea más sencilla e intuitiva, permitiendo que incluso usuarios sin experiencia técnica puedan beneficiarse del firmware libre. No obstante, es importante verificar la compatibilidad del hardware y realizar copias de seguridad antes de iniciar el proceso.

Compatibilidad y dispositivos soportados por Libreboot 25.04

Libreboot 25.04 amplía su lista de dispositivos soportados. Entre los sistemas compatibles están equipos de escritorio como la Acer Q45T-AM, la G43T-AM3 y una variedad de placas y portátiles de marcas como Lenovo ThinkPad, Dell OptiPlex, HP EliteBook, Apple MacBook, así como algunos equipos ARM y consolas antiguas como la PlayStation 1. Sin embargo, el soporte para hardware moderno sigue limitado por las restricciones de los fabricantes en sus firmwares cerrados.

Mejoras técnicas y auditoría de código

El desarrollo reciente ha implicado la revisión y limpieza exhaustiva del sistema de construcción, eliminando código obsoleto y mejorando la eficiencia y claridad de los scripts. Se han modularizado funcionalidades y reforzado los controles de errores, garantizando compatibilidad con las distribuciones GNU/Linux actuales y herramientas como Python 3 y diversos toolchains.

Además, se ha implementado la randomización de la dirección MAC durante la inyección, lo que ayuda a evitar duplicidades en la red y mejora la privacidad del usuario.

Aspectos a tener en cuenta antes de actualizar

Es imprescindible que los usuarios revisen cuidadosamente la documentación y confirmen la compatibilidad de su hardware antes de proceder. Dado que es una versión de prueba, no se recomienda su uso en entornos de producción donde la estabilidad sea prioritaria. La actualización requiere seguir los pasos con atención, especialmente en lo que respecta al flasheo de chips SPI y la manipulación de firmware.

El soporte y las guías detalladas de la comunidad facilitan el proceso, ayudando a que la transición sea sencilla para usuarios de diferentes niveles.

Este lanzamiento representa un avance importante para los entusiastas y defensores del software libre, quemando en su foco la seguridad y la ampliación de la compatibilidad. Con esta nueva versión, el proyecto reafirma su compromiso con la transparencia y la mejora continua, consolidándose como una de las alternativas más relevantes en el ámbito del firmware abierto.

from Linux Adictos https://ift.tt/reL82cU
via IFTTT

Lista de juegos en navegadores: los más populares y otros no tan conocidos

Posted on by

Juegos en navegadores

Todos sabemos para qué sirven los navegadores web: para navegar por la red. ¿Y qué podemos hacer en Internet? Pues de todo: visitar blogs como LinuxAdictos, leer noticias, visitar redes sociales, YouTube o ver películas y series en los diferentes servicios de contenido en streaming. También se puede jugar si nos metemos en algún portal de juegos, pero para todo eso necesitamos conexión. ¿Qué pasa cuando Internet no funciona? El navegador puede servirnos para usar herramientas offline, y también para disfrutar de juegos en navegadores.

La historia de los juegos en navegadores se remonta a los 90, aunque no tal y como los conocemos. Internet Explorer 4 y 5 tenían huevos de pascua ocultos, pero no juegos jugables como tal. El primero tampoco es el que creéis: el juego del dinosaurio de Chrome llegó en 2014, pero Firefox había incluido uno en su navegador dos años antes, el clásico Pong, pero personalizado. Vamos con la lista de los más populares.

Firefox: Unicorn (Pong)

Mozilla no lo puso fácil para acceder a su juego. Es un huevo de pascua en toda regla, porque para encontrarlo hace falta saber dónde está o tener suerte. Para conseguir jugar a Unicorn hay que:

  1. Hacemos clic secundario al lado de la barra de URL y elegimos «Personalizar barra de herramientas.
  2. En ventana de personalización, arrastramos y soltamos todos los iconos en el apartado del menú de desborde (donde aparece una especie de pez), menos el del espacio flexible.

Cómo acceder al juego oculto de Firefox

  1. Cuando arrastremos el último sin contar e del espacio flexible, veremos que abajo aparece el icono del unicornio. Sólo quedaría hacer clic en él.

Unicorn

El juego es sencillo: como un Pong, pero en vertical. Sólo tenemos que mover las flechas izquierda y derecha para que nuestro espacio flexible devuelve el unicornio y así no perder.

Para dejar las cosas como estaban, sólo tenemos que hacer clic en «Restaurar predeterminados» abajo a la derecha.

Chrome y Brave: Dino

Dino

Dino es quizá el más popular de estos juegos, pero porque Google se encargó, directa o indirectamente, de que lo descubriéramos. Se accede a él en los navegadores con base Chromium compatibles introduciendo en el la barra de URL chrome://dino. Funciona en Chrome, Chromium y Brave, pero otros como Edge o Vivaldi han desactivado la opción porque ofrecen una propia.

En Dino, lo que tenemos que hacer es saltar los obstáculos con la barra espaciadora.

Edge: Surf

Surf

Cuando cambiaron a un nuevo logotipo, Microsoft añadió para celebrarlo un juego basado en SkiFree, un juego de surf. Se accede a él introduciendo edge://surf en al barra de URL, y también es sencillo: tenemos que movernos a la izquierda o a la derecha para sortear obstáculos y hasta un kraken. Tiene distintos modos de juego, como por puntuación o sin fin. También ofrece opciones de personalización. ¿Os dais cuenta de que cada vez son más complejos?

Vivaldi: Vivaldia

Vivaldia

Vivaldi es, diría yo, el más popular de los navegadores «jóvenes». No vamos a hablar de lo que ofrece ni de sus políticas anti-big-tech, pero sí de su juego. Como es un navegador más joven, también ha añadido un juego más actual, si a eso se le puede llamar así. Más completo sí que es, y quisieron homenajear a los juegos de máquinas recreativas.

Vivaldia es una especie de side scroller, es decir, como un juego de plataformas en horizontal, en el que hay un personaje con un monociclo que salta, dispara… Es lo suficientemente pequeño como para que quepa en el navegador. Lo del tamaño es un dato importante, ya que también existe un Vivaldia 2 que tuvieron que sacar del navegador justamente por su tamaño. Se puede acceder a él desde este enlace, está disponible en Steam y verificado para Steam Deck.

Opera GX: Operius

Operius

Opera GX es un navegador cuyo diseño y funcionalidades están pensados para jugar. Su juego oculto es Operius, y se accede a él poniendo en la barra de URL opera://operius. Lo que nos encontraremos será una especie de shooter o juego de naves en un túnel, donde tenemos que ir eliminando o sorteando los obstáculos. Se espera que este mes lancen una versión actualizada y también se ofrezca en Steam.

Y estos son los juegos en navegadores más populares. No son los últimos AAA, pero sirven para matar el tiempo.

from Linux Adictos https://ift.tt/3NvLWFn
via IFTTT

Muy pronto, los usuarios de Linux no echaremos de menos una app para WhatsApp

Posted on by

WhatsApp Web

En países como España, WhatsApp es y será siempre el rey de la mensajería. Da igual que prácticamente todos podamos usar los mensajes RCS; cuesta mucho que la gente cambie sus hábitos, por no hablar de que no todos los teléfonos permiten el envío de mensajes desde cualquier ordenador. Ahora mismo, los usuarios de Linux podemos usar WhatsApp en el navegador, pero no cuenta con algunas funciones que nos hacen echar de menos una aplicación nativa. Eso va a cambiar a corto/medio plazo.

El filtrador WABetaInfo, famoso por filtrar las novedades de WhatsApp antes de que lleguen incluso a las versiones beta, ha adelantado que Meta está trabajando en llevar las llamadas y videollamadas al cliente web. Ahora mismo, creo que es lo único que le falta a la versión del navegador para que sea exactamente lo mismo que las aplicaciones que hay para Windows y macOS.

WhatsApp Web permitirá llamar

WA_VOICE_VIDEO_CALLING_FEATURE_WEB

Pronto, pero no se sabe cuándo, la versión web de WhatsApp mostrará los iconos que veis en la captura anterior del mismo WABetaInfo: llamadas y videollamadas. De esta manera, cualquier equipo con un navegador compatible y con micrófono y webcam, es decir, al menos prácticamente cualquier portátil, podrá realizar llamadas de voz y de vídeo.

Otra novedad que he notado yo mientras buscaba los iconos, ya que yo estoy usando la versión beta de WhatsApp Web, es que la interfaz de la aplicación abarcará toda la pantalla, tal y como se muestra en la captura de cabecera. En la actualidad, la versión estable se muestra en un recuadro, lo que no es todo lo estético que podría ser.

Los usuarios de Linux no tendremos aplicación oficial, o no se sabe nada de la misma, pero sí podremos obtener lo mismo instalando la aplicación web, opción que ofrecen algunos navegadores. Para el que prefiera algo separado del historial, siempre se puede hacer como explicamos en este artículo.

from Linux Adictos https://ift.tt/gcM9TV2
via IFTTT