**Mistral AI**, uma empresa francesa de inteligência artificial conhecida por seus modelos de linguagem grandes (LLMs) de peso aberto, confirmou uma violação de segurança após o ataque à cadeia de suprimentos de software **Mini Shai-Hulud**. O incidente, que inicialmente visou pacotes **TanStack**, agora impactou a **Mistral AI**, levando a um potencial vazamento de código-fonte. ### Código-fonte Comprometido De acordo com a **Mistral AI**, a violação originou-se do comprometimento de pacotes oficiais da **TanStack** e da **Mistral AI** através de credenciais CI/CD roubadas e fluxos de trabalho legítimos. Este ataque se espalhou subsequentemente para vários outros projetos de software nos registros npm e PyPI, incluindo **UiPath**, **Guardrails AI** e **OpenSearch**. "Eles [os hackers] contaminaram alguns de nossos pacotes SDK por um breve período", declarou a empresa. ### Exigências do TeamPCP O **TeamPCP** afirma ter exfiltrado quase 5 gigabytes de repositórios internos e código-fonte cruciais para os processos de treinamento, fine-tuning, benchmarking, entrega de modelos e inferência da **Mistral**. Os hackers exigem US$ 25.000 pelos dados, ameaçando liberá-los publicamente se um comprador não for encontrado em uma semana. "Estamos procurando US$ 25k BIN ou eles podem pagar isso e nós vamos triturar permanentemente, vendendo apenas para a melhor oferta e limitado a uma pessoa, se não encontrarmos um comprador em uma semana, vazaremos tudo isso de graça para os fóruns", anunciaram os hackers.  **Hackers do TeamPCP oferecendo dados da Mistral AI para venda** *fonte: KELA* ### Resposta da Mistral AI A **Mistral AI** reconheceu que o **TeamPCP** conseguiu comprometer alguns de seus pacotes de kit de desenvolvimento de software (SDK). Em um aviso recente, a empresa atribuiu a violação a um dispositivo de desenvolvedor afetado pelo ataque à cadeia de suprimentos **TanStack**. No entanto, a **Mistral** afirma que sua investigação forense indica que os dados comprometidos não faziam parte dos repositórios de código principais. "Nem nossos serviços hospedados, dados de usuários gerenciados, nem quaisquer de nossos ambientes de pesquisa e teste foram comprometidos", esclareceu a **Mistral**. ### OpenAI Também Impactada Em notícias relacionadas, a **OpenAI** também confirmou que o ataque à cadeia de suprimentos **TanStack** impactou sistemas pertencentes a dois de seus funcionários que tinham acesso a "um subconjunto limitado de repositórios de código-fonte internos". Um pequeno conjunto de credenciais foi roubado, mas não há evidências de exploração adicional. A **OpenAI** desde então rotacionou os certificados de assinatura de código comprometidos no incidente e instou os usuários de macOS a atualizarem seus aplicativos desktop **OpenAI** antes de 12 de junho para evitar interrupções no serviço. ## A Lacuna de Validação: Pentest Automatizado Responde a Uma Pergunta. Você Precisa de Seis. Ferramentas de pentest automatizado entregam valor real, mas foram criadas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram criadas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se mantêm. Este guia cobre as 6 superfícies que você realmente precisa validar. Baixe Agora