京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 1007|回复: 0

ChatGPT 超级巨大漏洞,能看别人支付聊天内容,OpenAI 公布技术细节 ...

[复制链接]

1591

主题

728

回帖

6982

积分

论坛元老

积分
6982
发表于 2023-3-26 08:41:43 | 显示全部楼层 |阅读模式 来自 江苏常州
机器之心报道8 i" V* Y5 w7 K
编辑:杜伟、小舟, w$ O9 E* r8 p4 J2 \
原来,是缓存问题导致了 ChatGPT 的宕机。, ], q, ^3 w  p6 p7 t. x
本周早些时候,ChatGPT 宕机数小时。, W9 c9 I5 D! J+ M) d: ^
现在,OpenAI 声明 ChatGPT 的暂时下线是因为开源库中的一个错误,该错误让一些用户能够看到另一个活跃用户聊天记录中的标题。如果两个用户大约同时在线,那么新创建的对话的第一条消息也可能在其他人的聊天记录中可见。OpenAI 表示现已修补这个 bug。
" o9 q4 ~/ F, {6 `
! M1 s4 y8 E: y: `- Q: W! E
1 S2 `$ \, j) s: Q+ f& X0 G3 I+ n& o# V: C0 A2 _8 f; r- N6 }- U
图源:推特 @JordanLWheeler
2 R% H; q  ~0 ~- Q$ ^经过更深入的调查,OpenAI 还发现,在特定的 9 小时窗口内,有 1.2% 的 ChatGPT Plus 订阅者处于活跃状态,从而导致他们可能无意中看到了与支付相关的信息。$ B3 A" f. H( ^$ ]4 m8 l
具体来说,在周一 OpenAI 关闭 ChatGPT 之前的几个小时内,一些用户可能会看到另一个活跃用户的名字、姓氏、电子邮件地址、支付地址、信用卡号的最后四位和信用卡到期时间。注意,信用卡号只有最后四位可能被其他用户看到了,OpenAI 表示任何时候都不会暴露完整的信用卡号码。7 w" ?; t( U& b2 p! f, v! W) [6 j
OpenAI 表示实际遭到数据泄露的用户极少,主要可能是因为以下两种情况:
* _4 n1 n, w9 w1 r. `: V% `用户打开了太平洋时间 3 月 20 日星期一凌晨 1 点到 10 点之间发送的订阅确认电子邮件 —— 该窗口期间生成的一些订阅确认电子邮件被发送给了错误的用户。这些电子邮件包含另一个用户信用卡号的最后四位数字,但没有显示完整的信用卡号。在 3 月 20 日之前,可能有少量订阅确认电子邮件被错误地处理了,尽管 OpenAI 尚未确认任何此类情况。
* z+ A9 \: c( Z0 V7 t- y9 W在太平洋时间 3 月 20 日星期一凌晨 1 点到 10 点之间,在 ChatGPT 中单击「我的帐户」,然后单击「管理我的订阅」,在此窗口中,另一个活跃的 ChatGPT Plus 用户的名字、姓氏、电子邮件地址、付款地址、信用卡号码的最后四位和信用卡到期日期可能是可见的。这种情况也是可能发生在 3 月 20 日之前,尽管 OpenAI 尚未确认任何此类情况。% G: a$ Y" Q- v8 J& s* n2 l
OpenAI 已联系受影响的用户,并通知他们的付款信息可能已被泄露。+ j* R3 w& V0 e3 K  K( E
OpenAI 表示向其用户和整个 ChatGPT 社区致歉,并将努力重建信任。
' N1 o$ z" g  S! [" y7 f缓存问题如何导致 ChatGPT 漏洞?
* n' e; q  [7 u4 `& A6 ?( l这一切是如何发生的呢?OpenAI 归结为缓存问题。该公司使用了一款名为 Redis 的软件缓存用户信息,它能提供高性能的数据存取功能。具体来讲,错误是在 Redis 客户端开源库「redis-py」中发现的。- g; e2 L6 F5 }: X' p

) m: |  U" V4 v! d1 F. Y2 F
1 [% g- l& M: ^1 O( h6 O
. V, i. U7 y! K1 r9 L5 u在某些情况下,一个取消的 Redis 请求会导致为一个不同的请求返回损坏数据,这本是不应该发生的。通常情况下,ChatGPT 会获取该数据,但会因为这不是它所要求的,因而会抛出错误。
- [' q* D3 `% f但是如果另一个人要求相同类型的数据,即如果他想要加载自己的账户主页并且看到了其他人的账户信息,ChatGPT 会认为一切正常并将这些数据显示给他。; J9 l2 b3 A/ V, F: G5 _9 s( G! x
这就是人们看到其他用户支付信息和聊天记录的原因。他们收到了缓存数据,而这些数据实际上应该交给其他人,但由于取消请求却未能这样做。这也是只影响活跃用户的原因。
$ j' U" o/ t4 t) o" a更糟糕的是,在 3 月 20 日早上,OpenAI 对其服务器进行了更改,意外导致取消的 Redis 请求激增,从而增加了返回不相关缓存的 bug 概率。
& |, V, [$ W; U" w1 \; I& R) ~对此,OpenAI 表示,该 bug 仅出现在一个特殊的 Redis 版本中,并且联系了 Redis 维护者。现在通过添加一个补丁已经修复了漏洞。此外还正在对软件及一些习惯做法进行更改,防止类似事情再次发生,包括添加冗余检查以确保提供的数据属于请求它的用户,并降低 Redis 集群在高负载下出现错误的可能性。
* A" [/ Y( ?" g! Y. Q5 UChatGPT 出现的技术漏洞也带来了一些启示。如果有不怀好意的人知道了特定公司使用的软件,他们可能会以该软件为目标引入漏洞。因此,公司需要经常检查它们使用的软件,最好确保漏洞不会发生,并在发生时做好应对准备。% m1 G5 _; ]( z& O: {
参考链接:
  F; p6 |0 F' O% L) \0 s1 k# [https://openai.com/blog/march-20-chatgpt-outage9 T2 g3 \7 e7 M; r. _4 C
https://www.theverge.com/2023/3/24/23655622/chatgpt-outage-payment-info-exposed-monday: d% a9 P$ a( V. ]% q8 F! m
探寻隐私计算最新行业技术,「首届隐语开源社区开放日」报名启程
& s/ J! o, [" a# N# Z; ^. o春暖花开之际,诚邀广大技术开发者 & 产业用户相聚活动现场,体验数智时代的隐私计算生态建设之旅,一站构建隐私计算产业体系知识:
' o; y2 U3 {: J3 o5 u6 i7 `1 m, X隐私计算领域焦点之性" ]* o" K" v6 l' a9 X5 Y+ a& I
分布式计算系统的短板与升级策略
5 E+ y5 P) V: \- y3 X隐私计算跨平台互联互通
- b- T( d6 ~& ~# f/ |$ O隐语开源框架金融行业实战经验8 m. R; t  I8 J. ]
3 月 29 日,北京 · 798 机遇空间,隐语开源社区开放日,期待线下面基。$ @1 G. R5 @3 o) Q
点击阅读原文,立即报名。
2 w' m: y) S/ v  x& V# Y+ h$ C THE END
% F+ ]/ g  c8 K; d8 N8 J7 ~) V% C. f转载请联系本公众号获得授权
( z, d( M- h$ }1 J; n3 i! `投稿或寻求报道:content@jiqizhixin.com

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-17 11:40 , Processed in 0.038171 second(s), 24 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表