**Mistral AI**, una empresa francesa de inteligencia artificial conocida por sus modelos de lenguaje grandes (LLMs) de peso abierto, ha confirmado una brecha de seguridad tras el ataque a la cadena de suministro de software **Mini Shai-Hulud**. El incidente, que inicialmente apuntó a paquetes de **TanStack**, ahora ha impactado a **Mistral AI**, lo que podría resultar en una filtración de código fuente. ### Código Comprometido Según **Mistral AI**, la brecha se originó por el compromiso de paquetes oficiales de **TanStack** y **Mistral AI** a través de credenciales CI/CD robadas y flujos de trabajo legítimos. Este ataque se propagó posteriormente a numerosos otros proyectos de software en los registros npm y PyPI, incluyendo **UiPath**, **Guardrails AI** y **OpenSearch**. "Ellos [los hackers] contaminaron algunos de nuestros paquetes SDK durante un breve período", afirmó la compañía. ### Demandas de TeamPCP **TeamPCP** afirma haber exfiltrado casi 5 gigabytes de repositorios internos y código fuente cruciales para los procesos de entrenamiento, ajuste fino, benchmarking, entrega de modelos e inferencia de **Mistral**. Los hackers exigen $25,000 por los datos, amenazando con liberarlos públicamente si no encuentran un comprador en una semana. "Buscamos $25k BIN o pueden pagar esto y lo destruiremos permanentemente, solo vendiendo a la mejor oferta y limitado a una persona. Si no encontramos un comprador en una semana, filtraremos todo esto gratis en los foros", anunciaron los hackers.  **Hackers de TeamPCP ofrecen vender datos de Mistral AI** *fuente: KELA* ### Respuesta de Mistral AI **Mistral AI** ha reconocido que **TeamPCP** logró comprometer algunos de sus paquetes de kit de desarrollo de software (SDK). En un aviso reciente, la compañía atribuyó la brecha a que un dispositivo de desarrollador se vio afectado por el ataque a la cadena de suministro de **TanStack**. Sin embargo, **Mistral** afirma que su investigación forense indica que los datos comprometidos no formaban parte de los repositorios de código principales. "Ni nuestros servicios alojados, ni los datos de usuarios administrados, ni ninguno de nuestros entornos de investigación y pruebas fueron comprometidos", aclaró **Mistral**. ### OpenAI También Impactado En noticias relacionadas, **OpenAI** también ha confirmado que el ataque a la cadena de suministro de **TanStack** impactó sistemas pertenecientes a dos de sus empleados que tenían acceso a "un subconjunto limitado de repositorios de código fuente internos". Se robó un pequeño conjunto de credenciales, pero no hay evidencia de explotación adicional. Desde entonces, **OpenAI** ha rotado los certificados de firma de código comprometidos en el incidente y ha instado a los usuarios de macOS a actualizar sus aplicaciones de escritorio de **OpenAI** antes del 12 de junio para evitar interrupciones del servicio. ## La Brecha de Validación: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Necesitas Seis. Las herramientas de pruebas de penetración automatizadas brindan un valor real, pero fueron diseñadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron diseñadas para probar si sus controles bloquean amenazas, si sus reglas de detección se activan o si sus configuraciones en la nube se mantienen. Esta guía cubre las 6 superficies que realmente necesitas validar. Descargar Ahora