H3CのLingxi AIアシスタントは、3か月間にわたり複数のクラウドベースモデルのAPI認証情報を誤って公開していました。これらの認証情報はインストーラーのコード内に平文で含まれており、Zhipu AI、Baidu Qianfan、ByteDanceのVolcano Engineのキーが含まれていました。ユーザーから1月に報告があったにもかかわらず、H3Cは5月初旬まで認証情報を取り消しませんでした。 対応の遅れは、複数の内部チームでAPIキーを共有していたため、即時の取り消しが困難だったことに起因しています。幸いにも、製品のユーザーベースが限定的だったため、大規模な悪用は防がれ、潜在的な金銭的損失を回避しました。