封面 云上数据泄露⻛险分析报告 全球 （第⼋期） 关于星云实验室 绿盟科技星云实验室专注于云计算安全、云原生安全、解决方案研究与虚拟化网络安全问题研究。 基于IaaS环境的安全防护，利用SDN/NFV等新技术和新理念，提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题，已成功孵化落地绿盟科技云安全解决方案、绿盟科技云原生安全解决方案。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可， 不得以任何方式复制或引用本文的任何片断。 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4 月，总部位于北京。公司于2014年1月29日起在深圳证券交易所创业板 上市，证券代码：300369。绿盟科技在国内设有40多个分支机构，为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、 新加坡设立海外子公司， 深入开展全球业务，打造全球网络安全行业的中国品牌。 © 2025 绿盟科技 全球云上数据泄露风险分析简报（第八期） 目录 前言 01全球9-10月云上数据泄露典型事件解读 1 事件一. AI应用程序Vyro使用的ES实例因未授权配置导致116GB的实时用户日志外泄 2 事件二.公开暴露的Amazon S3存储桶泄露大量德克萨斯州卡车司机敏感信息 5 事件三.红队APT组织Crimson Collective利用泄露的AWS访问凭证对Amazon账户进行劫持导致数据外泄 8 事件四. AI Campanion使用的Kafka Broker实例因错误配置导致超过4300万条隐私对话泄露 12 事件五.Framelink Figma MCP Server曝漏洞， 攻击者可进行RCE和持久化 14 事件六.“CamoLeak”攻击技术可绕过GitHub Copilot导致敏感数据外泄 17 事件七. Salesloft的GitHub帐户遭大规模供应链攻击，导致公司内部敏感信息外泄 19 目录 事件八. 国内某著名饮料企业使用的天翼云对象存储服务存在访问配置错误导致至少上千名法人的个人敏感信息泄露 22 02安全建议 24 2.1针对杂项错误类的安全建议 25 2.2针对社工类系统入侵的安全建议 26 03总结 27 04参考文献 30 © 2025 绿盟科技 全球云上数据泄露风险分析简报（第八期） 前言 本报告是绿盟科技创新研究院发布的第八期云上数据泄露简报，聚焦于2025年9月-10月期间的全球云上数据泄露态势。 通过对本期收录的8起典型案例进行深入剖析， 我们旨在揭示当前云上数据安全面临的核心挑战与最新动向。与上一期报告相比，由AI技术引发的安全风险持续深化并呈现出新的演变路径。我们观察到，攻击面渐渐从AI大模型本身迅速扩展至支撑其运行的整个基础设施。本期收录的因租户配置错误导致的如ES实例和Kafka数据泄露这两个案例，均非直接攻击模型，而是通过利用AI服务依赖的基础设施配置错误，导致用户数据和隐私对话泄露。这一趋势也同时表明AI系统的安全防护也需能覆盖完整的生命周期与技术栈。同时，针对AI的攻击手法也变得更为隐蔽和巧妙。例如，“CamoLeak”攻击技术诱导GitHub Copilot敏感数据外泄事件，标志着社工攻击已深入到开发者日常使用的AI辅助工具中，通过污染AI输出来窃取核心代码和凭证，为数据安全防护带来新的挑战。在本期收录的8起案例中，因配置错误直接导致的事件高达4起。此外，系统入侵仍是导致高价值数据被窃的主要原因，本期占比3起。从红队APT组织利用泄露的IAM密钥劫持云账户，到GitHub账户泄露引发的供应链攻击，进一步说明身份凭证管理的重要性。尤其是供应链攻击，影响范围广、溯源难度大。综上所述，2025年9月-10月的云上安全态势呈现出两方面显著特征：一方面，AI应用及其基础设施风险突出，攻击手法不断迭代；另一方面，云服务配置错误、凭证泄露和供应链安全等基础性问题依然是数据泄露的主要根源。本报告将逐一解析这些案例，以期为业界提供前瞻性的风险洞察与防御指引。 © 2025 绿盟科技 全球云上数据泄露风险分析简报（第八期） - 1 - 一、全球9-10月云上数据泄露典型事件解读 01全球9-10⽉云上数据泄露典型事件解读 © 2025 绿盟科技 全球云上数据泄露风险分析简报（第八期） - 2 - 事件一：AI应用程序Vyro使用的ES实例因未授权配置导致116GB的实时用户日志外泄 事件时间：2025年9月 泄露规模：约116GB的实时用户日志，包含用户提示词、身份验证令牌和用户代理等用户数据 事件回顾： Cybernews研究人员发现一个与Vyro AI（总部位于巴基斯坦，自称其产品组合下载量超过1.5亿次）相关的未受保护的Elasticsearch实例泄露了该公司的三个AI应用程序的116GB的实时用户日志：ImagineArt（下载量10M+）、Chatly（下载量100K+）和Chatbotx AI（基于网络的聊天机器人，每月访问量约50K）。泄露范围涵盖生产及开发环境中约2-7天的日志，内容包含用户在AI应用程序中输入的提示词、身份验证令牌以及User-agents。泄露的身份认证令牌可被攻击者劫持，进而访问完整的聊天记录、生成图像或非法购买AI服务，对话中的提示词可能含有敏感/私密内容，也存在隐私泄露风险。 图 1. 泄露的用户AI提示 © 2025 绿盟科技 全球云上数据泄露风险分析简报（第八期） - 3 - 图 2. 泄露的带有PII的用户提示词 事件分析： 本次事件的根本原因在于 Vyro AI 运维团队未对其 Elasticsearch 实例进行任何访问保护与认证控制，使该数据库直接暴露在公共互联网中。这一实例原本用于收集和索引多款 AI 应用（包括 ImagineArt、Chatly、Chatbotx）中的用户交互日志，却缺乏最基本的安全隔离与访问限制。结果，攻击者或任何互联网用户都能够通过简单的网络请求访问这些数据，导致约 116 GB 的日志文件被完全公开。此类“未受保护的 Elasticsearch 实例”问题属于典型的配置错误风险，尤其在云服务或容器化环境中极为常见。由于 Elasticsearch 服务默认监听端口为 9200 且不带认证机制， 如果未额外启用访问控制或防火墙策略， 就会成为互联网扫描工具 （如 Shodan、fofa）最易发现的目标。一旦被索引，任何人即可浏览、下载甚至修改其中的数据。更严重的是，此次暴露的不仅限于生产环境，还包含开发与测试环境，表明 Vyro AI 在环境隔离、访问控制及资产管理方面存在系统性缺陷。 被暴露的日志本身也极具敏感性。日志中记录了大量 AI 应用用户输入的 prompts，这些提示词往往涉及用户的思想、兴趣、工作内容甚至私人问题。用户还可能在提示中输入真实姓名、工作单位、联系方式、健康或情感相关的信息。这些数据可能导致身份泄露、敲诈勒索或社会工程攻击。更为危险的是，日志中还包含 bearer tokens 等访问凭据，攻击者可利用令牌对账户进行劫持，以查看聊天记录、生成内容、消耗账户余额或积分，甚至篡改账户资料。此外，日志文件还存储了大量 user-agent 信息及请求元数据，这些信息可以反映出用户所使用的设备类型、操作系统版本及浏览器特征，攻击者可借此分析用户的技术环境，选择性地发起定向攻击或漏洞利用。