ChatGPT 爆出超级漏洞,能看别人支付记录和聊天内容,OpenAI 公布技术细节

公众号关注 「奇妙的 Linux 世界」

设为「星标」,每天带你玩转 Linux !

e32a4bb8d01c6e073c1f61667a03c65e.jpeg

原来,是缓存问题导致了 ChatGPT 的宕机。

本周早些时候,ChatGPT 宕机数小时。

现在,OpenAI 声明 ChatGPT 的暂时下线是因为开源库中的一个错误,该错误让一些用户能够看到另一个活跃用户聊天记录中的标题。

如果两个用户大约同时在线,那么新创建的对话的第一条消息也可能在其他人的聊天记录中可见。OpenAI 表示现已修补这个 bug。

338433b51c287cbdc678208bc6766425.png

图源:推特 @JordanLWheeler

经过更深入的调查,OpenAI 还发现,在特定的 9 小时窗口内,有 1.2% 的 ChatGPT Plus 订阅者处于活跃状态,从而导致他们可能无意中看到了与支付相关的信息。

具体来说,在周一 OpenAI 关闭 ChatGPT 之前的几个小时内,一些用户可能会看到另一个活跃用户的名字、姓氏、电子邮件地址、支付地址、信用卡号的最后四位和信用卡到期时间。注意,信用卡号只有最后四位可能被其他用户看到了,OpenAI 表示任何时候都不会暴露完整的信用卡号码。

OpenAI 表示实际遭到数据泄露的用户极少,主要可能是因为以下两种情况:

  • 用户打开了太平洋时间 3 月 20 日星期一凌晨 1 点到 10 点之间发送的订阅确认电子邮件 —— 该窗口期间生成的一些订阅确认电子邮件被发送给了错误的用户。这些电子邮件包含另一个用户信用卡号的最后四位数字,但没有显示完整的信用卡号。在 3 月 20 日之前,可能有少量订阅确认电子邮件被错误地处理了,尽管 OpenAI 尚未确认任何此类情况。

  • 在太平洋时间 3 月 20 日星期一凌晨 1 点到 10 点之间,在 ChatGPT 中单击「我的帐户」,然后单击「管理我的订阅」,在此窗口中,另一个活跃的 ChatGPT Plus 用户的名字、姓氏、电子邮件地址、付款地址、信用卡号码的最后四位和信用卡到期日期可能是可见的。这种情况也是可能发生在 3 月 20 日之前,尽管 OpenAI 尚未确认任何此类情况。

OpenAI 已联系受影响的用户,并通知他们的付款信息可能已被泄露。

OpenAI 表示向其用户和整个 ChatGPT 社区致歉,并将努力重建信任。

缓存问题如何导致 ChatGPT 漏洞?

这一切是如何发生的呢?OpenAI 归结为缓存问题。该公司使用了一款名为 Redis 的软件缓存用户信息,它能提供高性能的数据存取功能。具体来讲,错误是在 Redis 客户端开源库「redis-py」中发现的。

2add63ca3289d51eeb6148fcbc7a99b5.png

在某些情况下,一个取消的 Redis 请求会导致为一个不同的请求返回损坏数据,这本是不应该发生的。通常情况下,ChatGPT 会获取该数据,但会因为这不是它所要求的,因而会抛出错误。

但是如果另一个人要求相同类型的数据,即如果他想要加载自己的账户主页并且看到了其他人的账户信息,ChatGPT 会认为一切正常并将这些数据显示给他。

这就是人们看到其他用户支付信息和聊天记录的原因。他们收到了缓存数据,而这些数据实际上应该交给其他人,但由于取消请求却未能这样做。这也是只影响活跃用户的原因。

更糟糕的是,在 3 月 20 日早上,OpenAI 对其服务器进行了更改,意外导致取消的 Redis 请求激增,从而增加了返回不相关缓存的 bug 概率。

对此,OpenAI 表示,该 bug 仅出现在一个特殊的 Redis 版本中,并且联系了 Redis 维护者。现在通过添加一个补丁已经修复了漏洞。此外还正在对软件及一些习惯做法进行更改,防止类似事情再次发生,包括添加冗余检查以确保提供的数据属于请求它的用户,并降低 Redis 集群在高负载下出现错误的可能性。

ChatGPT 出现的技术漏洞也带来了一些启示。如果有不怀好意的人知道了特定公司使用的软件,他们可能会以该软件为目标引入漏洞。因此,公司需要经常检查它们使用的软件,最好确保漏洞不会发生,并在发生时做好应对准备。

参考链接:

https://openai.com/blog/march-20-chatgpt-outage

https://www.theverge.com/2023/3/24/23655622/chatgpt-outage-payment-info-exposed-monday

本文转载自:「机器之心」,原文:https://tinyurl.com/msekkmb7,版权归原作者所有。欢迎投稿,投稿邮箱: editor@hi-linux.com。

0299dcc14fb6336b936c178480a53047.gif

最近,我们建立了一个技术交流微信群。目前群里已加入了不少行业内的大神,有兴趣的同学可以加入和我们一起交流技术,在 「奇妙的 Linux 世界」 公众号直接回复 「加群」 邀请你入群。

f3e1c57a544b49fb8b568c490c6fdee1.png

你可能还喜欢

点击下方图片即可阅读

ca2a11a6b1019d31eb8eedecbc0f636b.png

OpenAI 再发大招: ChatGPT 推出插件功能,能联网获取新知识,可与 5000+ 个应用交互

1ba42f7a72d459916333c0cb3aab8dd4.png
点击上方图片,『美团|饿了么』外卖红包天天免费领

2c7469a75db7ceace5b970f9f66ccd1d.png

更多有趣的互联网新鲜事,关注「奇妙的互联网」视频号全了解!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/4354.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ChatGPT可能正在存在被多处利用漏洞攻击隐患

尽管ChatGPT聊天非常有趣味性、可扩展、可开发性、一种可以超越人类能力理解的能力,最后还是会出现一些潜在威胁 可以通过多种聊天测试发现ChatGPT AI会教会你如何编写代码,包括C\C\Python\JAVA\GO语言,易语言等多种语言、解题数学英语语文化…

ChatGPT 出现严重技术漏洞,“当红炸子鸡”翻车了?

ChatGPT翻车了吗? 最近爆火的ChatGPT出现了严重技术漏洞,用户在社交媒体上表示看到了其他人的历史搜索记录标题。 一名推特用户21日发文称,“如果你使用ChatGPT请小心!你的聊天记录可能会被分享给其他用户!今天&#…

“我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”

一周以前,图灵奖得主 Yoshua Bengio、伯克利计算机科学教授 Stuart Russell、特斯拉 CEO 埃隆马斯克、苹果联合创始人 Steve Wozniak 等在内的数千名 AI 学者、企业家联名发起一则公开信,建议全球 AI 实验室立即停止训练比 GPT-4 更强大的模型&#xff0…

我使用 ChatGPT 审计代码发现了 200 多个安全漏洞( GPT-4 与 GPT-3 对比报告)

作者 | 安全女巫 责编 | 王子彧 前面使用 GPT-4 对部分代码进行漏洞审计,后面使用 GPT-3 对 git 存储库进行对比。最终结果仅供大家在 chatgpt 在对各类代码分析能力参考,其中存在误报问题,不排除因本人训练模型存在问题导致,欢迎…

ChatGPT明知自己写代码有漏洞,但你不问它就不说

萧箫 发自 凹非寺量子位 | 公众号 QbitAI ChatGPT知道自己写的代码有漏洞,但它不说! 来自加拿大的一项最新研究发现,ChatGPT生成的代码中,有不少都存在安全漏洞。 然而在被要求评估自己代码的安全性时,ChatGPT却很快发…

ChatGPT超级巨大漏洞,能看别人支付聊天内容,OpenAI公布技术细节

来源丨 机器之心 编辑丨杜伟、小舟 点击进入—>3D视觉工坊学习交流群 原来,是缓存问题导致了 ChatGPT 的宕机。 本周早些时候,ChatGPT 宕机数小时。 现在,OpenAI 声明 ChatGPT 的暂时下线是因为开源库中的一个错误,该错误让一些…

ChatGPT写POC,拿下漏洞!

001 前言 ChatGPT(Chat Generative Pre-trained Transformer)是当今备受瞩目的智能AI聊天机器人之一。它不仅能够实现基本的语言交流,还具备许多强大的功能,例如文章撰写、代码脚本编写、翻译等等。那么我们是否可以利用 ChatGpt…

ChatGPT从入门到精通,了解ChatGPT

ChatGPT从入门到精通,一站式掌握办公自动化/爬虫/数据分析和可视化图表制作 全面AI时代就在转角 道路已经铺好了 “局外人”or“先行者” 就在此刻 等你决定 1、ChatGPT从入门到精通,一站式掌握办公自动化/爬虫/数据分析和可视( 点击观看完整版本 ) 。…

ChatGPT 又大面积封号了...

ChatGPT 大面积封号 ing... ChatGPT 又双叒开始大面积封号了... 从昨天开始,许多童鞋纷纷表示,自己的 ChatGPT plus 账号被封了。 许多人收到了一封来自 OpenAI 的邮件,文中称由于账号存在可疑行为,为了保障平台安全&#xff0…

拯救全网的Chatgpt解封攻略(盗版必究)

登陆提示被封 大陆网友起床第一件事就是看到如下这张图,不管你是普通账号还是plus账号,都会面临被封的风险,大家不要慌,下面狗哥紧急启动了一个解封攻略,送上保姆级的解封教程,帮助大家快速解封。 准备一封…

ChatGPT 又开始大规模封号了...

今天中午,很多朋友都跟我反馈,收到了来自 OpenAI 的一封邮件: 邮件大意是,OpenAI 发现了你的 ChatGPT 账号存在可疑活动,为了保障平台安全,已自动退款并取消你的 ChatGPT Plus 订阅,账号无法再使…

ChatGPT又双叒大面积封号了...

来源:新智元 ChatGPT又双叒开始大面积封号了... 从昨天开始,许多童鞋纷纷表示,自己的ChatGPT plus账号被封了。 许多人收到了一封来自OpenAI的邮件,文中称由于账号存在可疑行为,为了保障平台安全,才这么做。…

ChatGPT大规模封号...

👇👇关注后回复 “进群” ,拉你进程序员交流群👇👇 最近各个ChatGPT&AI群都在传一个消息:ChatGPT官方大面积封号,登录gpt千万别用亚洲节点! 过了会很多人开始发自己的帐号被封了…

ChatGPT 被大面积封号,到底发生什么了?

意大利数据保护机表示 OpenAI 公司不但非法收集大量意大利用户个人数据,没有设立检查 ChatGPT 用户年龄的机制。 ChatGPT 似乎正在遭遇一场滑铁卢。 3月31日, 大量用户在社交平台吐槽,自己花钱开通的 ChatGPT 账户已经无法登录,更…

唯一客服系统(独立部署无限多开)-知识库ChatGPT-支持微信公众号小程序-钉钉-PC和H5全渠道客服系统...

产品介绍 唯一客服系统是基于Golang语言自主开发的在线客服系统。创立于2019年初,是一款连接企业与客户的即时通讯项目,遵循快速、简洁的开发原则,是为中小企业量身定制的全渠道客服系统,致力于帮助广大开发者/公司快速部署整合私…

爬虫?不是,mitmproxy帮你采集微信公众号留言

前言 有位朋友需要收集公司微信公众号的文章的留言,但苦于微信公众平台没有提供留言的API,所以朋友需要在每一篇文章下面去手动复制粘贴,朋友觉得很麻烦,于是来找到我!遂有此文。 下一篇,将结合uiautomatio…

你应该知道的——微信公众号配上机器人回复(微信对话开放平台)

前言 今天看了好多文章都是接入ChatGPT来作为微信公众号的机器人回复,弄了半天还没注册成功,于是搜了搜微信公众号机器人,发现了微信公众号配备了机器人! 虽然没有ChatGPT高级,但是自己玩玩还是挺好的,主…

从 0 开始最详细的微信公众号接入 AI

从 0 开始最详细的微信公众号接入 AI 文章目录 从 0 开始最详细的微信公众号接入 AI写在前面注册公众号克隆到服务器使用过微信机器人项目未使用过微信机器人项目 更改配置文件启动项目更换机器人接口写在最后 大家也可以浏览我其他的博客: 从 0 开始最详细的 Chat…

微信公众号、支付接口认证:一步步教您如何实现

1、微信公众号接口认证方案 1.1 认证流程 1)官方配置Token验证 Token不在网络中传递 2)开发一个Token验证接口 Token及其它参数拼接并字典排序再做sha摘要计算微信定期调用此接口来验证身份正确性通过摘要验证判断请求来源微信(Token配置…

ChatGPT扩展系列之跨平台桌面客户端ChatBox

ChatGPT扩展系列之跨平台桌面客户端ChatBox 今天介绍一下好玩的东西——ChatBox 为什么需要 ChatBox? 直接使用 ChatGPT API (OpenAI API) 是比较困难的,需要了解编程与接口调用,而且用起来不够方便。ChatBox 可以帮助你处理所有的底层调用。ChatBox 还帮你在本地保存了所…