ChatGPT私密對話為何外洩？OpenAI：開源資料庫程式錯誤

編譯／鄭智懷

自推出以來掀起全球熱潮的ChatGPT近日頻頻出包。OpenAI在美東時間20日甫針對部分用戶的聊天紀錄問題維修9個小時，發現問題出在Redis開源資料庫程式錯誤，緊接著在24日與25日又出現客戶個資外流及安全漏洞。萬幸的是相關問題已快速解決。

OpenAI指出，用戶聊天紀錄外流的主要原因在於Redis開源資料庫的redis-py部分出現快取問題，導致用戶取消請求後，其與資料庫的連接中斷並從後者獲得非預期且不屬於用戶本身的數據。而該資料庫的營運商在伺服器端（server-side）的錯誤更動，進一步提高取消請求量，從而增加錯誤機率。

而在上述問題解決後，ChatGPT卻出現更多問題。OpenAI表示，購買付費版ChatGPT Plus的一百萬名用戶中，有1.2%的客戶可能面臨姓名、電子郵件地址、付款地址、信用卡後4碼及到期日期等個資誤傳至其他用戶的信箱或帳號。目前該公司已經透過額外的設定、使Redis開源資料庫回溯的資料不會出現在與用戶無關的其他帳戶中。

緊接著，資安研究員Nagli通報OpenAI，ChatGPT具有安全漏洞，使攻擊者可以繞過該公司預設的防護措施，直接讀取用戶的個人資料，進而獲取安全憑證並接管帳戶所有權。Nagli指出，不明第三方的攻擊手法是將特定超連結附加到「chat.openai[.]com/api/auth/session/」端點並誘騙受害者點擊。

鑒於該問題的潛在高風險，OpenAI在接獲Nagli通報後2小時迅速修復相關漏洞，避免用戶因此受害。

資料來源：The Hacker News

瀏覽 739 次