La startup d’évaluation de l’IA Braintrust a exhorté ses clients à révoquer et à remplacer leurs clés API après une précédente violation des secrets clients.
Selon un e-mail envoyé aux clients lundi et vu par TechCrunch, la startup a confirmé un « accès non autorisé » à l’un de ses comptes cloud Amazon Web Services (AWS), qui contenait des clés API utilisées par les clients pour accéder aux modèles d’IA basés sur le cloud.
« Nous avons communiqué avec un client concerné et, à ce jour, nous n’avons trouvé aucune preuve d’une exposition plus large », peut-on lire dans l’e-mail.
L’e-mail demandait à « chaque client d’effectuer une rotation » avec l’une des clés API qu’il stocke avec Braintrust.
Braintrust a révélé l’incident de sécurité sur son site Web mardi. « L’incident a été maîtrisé et, entre-temps, nous avons verrouillé le compte compromis, audité et restreint l’accès aux systèmes associés, et effectué une rotation des secrets internes. »
La société a déclaré que la cause de la violation faisait l’objet d’une enquête.
Le porte-parole de Braintrust, Martin Bergman, a déclaré à TechCrunch que la société avait envoyé l’e-mail aux clients « par beaucoup de prudence » et qu’elle « avait confirmé un incident de sécurité, mais il n’y avait aucune preuve d’une violation pour le moment ».
Événement Techcrunch
San Francisco, Californie
|
13-15 octobre 2026
Braintrust fournit une plate-forme conçue pour permettre aux entreprises de surveiller les modèles et produits d’IA. Le fondateur et PDG Ankur Goyal a précédemment déclaré à TechCrunch que Braintrust est comme un « système d’exploitation pour les ingénieurs qui créent des logiciels d’IA ». La startup a levé 80 millions de dollars lors d’un cycle de financement de série B en février, qui a valorisé l’entreprise à 800 millions de dollars.
Jaime Blasco, co-fondateur de la startup de cybersécurité Nudge Security qui a reçu une alerte par courrier électronique de violation de Braintrust, a déclaré à TechCrunch que l’incident pourrait avoir « des implications en aval pour les clients concernés », comme les sociétés d’IA qui comptent sur Braintrust.
Contactez-nous
Avez-vous plus d’informations sur cette violation ? Ou d’autres violations de données ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail.
Les pirates ciblent fréquemment les comptes d’entreprise sur les services cloud ou les plateformes tierces comme moyen efficace de voler des secrets, comme les clés API. Une fois que les pirates ont mis la main sur les clés API, ils peuvent se connecter aux systèmes de l’entreprise ou des clients en se faisant passer pour des utilisateurs légitimes, sans avoir besoin de s’introduire dans les systèmes de l’entreprise cible.
CircleCI, une entreprise qui fournit des produits de développement aux ingénieurs logiciels, a été victime d’une violation de données cloud similaire en 2023 et a également demandé à ses clients de alterner « tous les secrets » qu’ils stockaient avec l’entreprise.
Plus récemment, une agence européenne de cybersécurité a déclaré que des pirates informatiques avaient réussi à voler 92 Go de données sur un compte AWS compromis utilisé par la Commission européenne. La violation a touché 29 autres entités de l’UE et les données de dizaines de clients internes de la Commission européenne.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.

