ChatGPT安全存隱患：代碼漏洞暴露用戶支付信息

OpenAI 日前公開了有關(guān)其在周一將 ChatGPT 下線的原因的新細(xì)節(jié)，現(xiàn)在它表示一些用戶的支付信息可能在事件期間已經(jīng)暴露。

根據(jù)該公司的一篇文章，名為 redis-py 的開源庫中的一個(gè)錯(cuò)誤造成了一個(gè)緩存問題，該問題可能會(huì)向一些活躍用戶顯示其他用戶信用卡的最后四位數(shù)字和到期日期，以及他們的名字和姓氏、電子郵件地址和付款地址。用戶也可能已經(jīng)看到了其他人聊天記錄的片段。

該公司表示，支付信息泄露可能影響了大約 1.2% ，在 3 月 20 日美國東部時(shí)間凌晨 4 點(diǎn)到下午 1 點(diǎn)之間使用該服務(wù)的 ChatGPT Plus 訂閱用戶。

根據(jù) OpenAI 的說法，有兩種情況可能導(dǎo)致支付數(shù)據(jù)被顯示給未經(jīng)授權(quán)的用戶。如果用戶在該時(shí)間段內(nèi)轉(zhuǎn)到“我的帳戶”>“管理訂閱”屏幕，他們可能會(huì)看到當(dāng)時(shí)正在使用該服務(wù)的另一位 ChatGPT Plus 用戶的信息。該公司還表示，事件期間發(fā)送的一些訂閱確認(rèn)電子郵件發(fā)送給了錯(cuò)誤的人，其中包括用戶信用卡號碼的最后四位數(shù)字。

該公司表示，這兩件事有可能都發(fā)生在 3 月 20 日之前，但尚未確認(rèn)是否確實(shí)發(fā)生過。 OpenAI 已經(jīng)聯(lián)系了可能暴露了支付信息的用戶。

至于問題發(fā)生的原因主要是緩存導(dǎo)致的。該公司在其文章中有完整的技術(shù)解釋，但簡單來說是公司使用一款名為 Redis 的軟件來緩存用戶信息。在某些情況下，取消的 Redis 請求會(huì)導(dǎo)致為不同的請求返回?fù)p壞的數(shù)據(jù)，這本不應(yīng)該發(fā)生。通常，程序會(huì)獲取該數(shù)據(jù)，比如“這不是我要求的”，然后返回錯(cuò)誤信息。

但是，如果其他人要求相同類型的數(shù)據(jù)，例如，如果他們想要加載他們的帳戶頁面并且數(shù)據(jù)是其他人的帳戶信息，該程序認(rèn)為一切正常并將其顯示給他們。

真正糟糕的是，在 3 月 20 日早上，OpenAI 對其服務(wù)器進(jìn)行了更改，意外導(dǎo)致取消的 Redis 請求激增，從而增加了錯(cuò)誤將不相關(guān)緩存返回給其他人的機(jī)會(huì)。

OpenAI 表示，該錯(cuò)誤出現(xiàn)在一個(gè)非常特殊的 Redis 版本中，現(xiàn)已修復(fù)，并且從事該項(xiàng)目的人員是“出色的合作者”。公司還表示，它正在對自己的軟件和做法進(jìn)行一些更改，以防止此類事情再次發(fā)生，包括添加“冗余檢查”以確保所提供的數(shù)據(jù)實(shí)際上屬于請求它的用戶，并降低 Redis 在請求高負(fù)載的情況下返回錯(cuò)誤信息的可能性。