周二,OpenAI被迫将其广受欢迎的ChatGPT机器人下线进行紧急维护,原因是一名用户能够利用系统中的一个漏洞召回其他用户的标题'聊天记录。上周五,该公司宣布了对该事件的初步调查结果。
在周二's的事件中,用户在Reddit上发布了他们的ChatGPT边栏显示其他用户之前聊天历史的截图。只有对话的标题,而不是文本本身是可见的。作为回应,OpenAI让机器人下线近10个小时进行调查。调查结果揭示了一个更深层次的安全问题:聊天记录漏洞可能还泄露了1.2%的ChatGPT Plus用户(每月20美元的增强访问包)的个人数据。
"在我们周一将ChatGPT下线之前的几个小时里,一些用户可以看到另一个活跃用户的姓和名、电子邮件地址、支付地址、信用卡号的最后四位数字(仅限)以及信用卡到期日期。完整的信用卡号码在任何时候都没有暴露,"OpenAI团队周五写道。该问题已经针对有问题的库进行了修补,OpenAI将其识别为Redis客户端开源库Redis -py。
该公司淡化了发生此类泄露的可能性,认为必须满足以下任何一个标准才能将用户置于风险之中:
-打开3月20日星期一凌晨1点到10点之间发送的订阅确认电子邮件。太平洋时间。由于该漏洞,在此期间生成的一些订阅确认电子邮件被发送给了错误的用户。这些电子邮件包含了另一个用户信用卡号的后四位数字,但没有显示完整的信用卡号。在3月20日之前,一小部分订阅确认电子邮件可能被错误地处理,尽管我们尚未确认任何此类情况。
-在ChatGPT中,点击“我的账户”,然后在凌晨1点到10点之间“管理我的订阅”。太平洋时间3月20日星期一。在这个窗口,另一个 活跃的 ChatGPT Plus用户的姓和名、电子邮件地址、支付地址、信用卡号的最后四位数字(仅限)以及信用卡到期日期可能已经可见。这也有可能发生在3月20日之前,尽管我们没有证实任何此类情况。
公司已经采取了额外的措施来防止这种情况在未来再次发生,包括在库调用中添加冗余检查,"编程检查我们的日志,以确保所有消息只对正确的用户可用,"以及"改进的日志记录,以识别何时发生这种情况,并完全确认它已经停止。该公司表示,它还联系了受影响的用户,提醒他们注意这个问题。
在此之前,谷歌(Google')的竞争对手巴德AI (Bard AI)在2月份犯下了代价昂贵的公开失礼行为,当时它错误地向Twitter保证,JWST是第一个拍摄系外行星图像的望远镜,以及CNET秘密使用生成式人工智能撰写金融解释帖子(一周后,其编辑部裁掉了相当大一部分人)。OpenAI是否会遭受与其竞争对手同样的市场影响仍有待观察。