据国外媒体报道,2023年3月20日,OpenAI的ChatGPT出现全球性故障,引发了用户的担忧。然而,在发现服务中存在严重漏洞后,OpenAI主动披露有关漏洞的详细信息。
据分享的详情称,在注意到可能会侵犯用户隐私的漏洞之后,OpenAI将ChatGPT下线。具体而言,该漏洞影响了Redis客户端开源库,这使得用户在进行交流时,聊天信息和标题会被暴露给其他人。ChatGPT使用这个库来缓存用户的信息、在请求期间进行连接回收、维护共享连接池以及在多个Redis实例中分配负载。
据透露,当一个传入请求到达队列并在传出响应弹出之前被取消时,漏洞就会出现。如果在请求被推送到传入队列之后但在响应从传出队列弹出之前被取消,我们就可以看到我们的漏洞:连接因此变得损坏,下一个为不相关请求的响应可以接收留在连接中的数据。虽然在这种情况下的结果主要是服务器错误,但在少数情况下,用户将看到来自不相关用户的缓存数据。在大多数情况下,这导致了无法恢复的服务器错误,并且用户必须再次尝试他们的请求。但在某些情况下,损坏的数据恰好与请求方期望的数据类型相匹配,因此从缓存返回的结果看起来是有效的,即使它属于另一个用户。
漏洞出现在一个9小时的窗口期内,在太平洋时间1点到10点之间。除了暴露用户的对话,漏洞还暴露了付费订阅用户的付款细节给其他用户。这可能是一个敏感的问题,因为泄露的细节包括全名、电子邮件地址、账单地址、信用卡号的最后四位数字和卡片到期日期。
在发现这个漏洞后,OpenAI将ChatGPT下线并开始修复漏洞。他们修补了漏洞,并部署了额外的安全检查,以确保用户获得所需的响应。该公司还确定了受到此漏洞影响的用户,以通知他们有关此问题。该服务还赞赏Redis为迅速修复ChatGPT用户的漏洞。尽管已经修补了漏洞,但用户(主要是付费订阅用户)可能需要考虑联系他们的银行以进行适当的监控,以避免可能的恶意交易。
上述问题给我们在使用ChatGPT类的产品敲响了警钟,在使用中,我们要做到以下几点,避免产生隐私泄露:
1、限制个人敏感信息的输入
尽量不要在ChatGPT对话中输入过多的个人信息,例如身份证号、银行卡号等敏感信息,以避免不必要的风险。
2、加强网络安全意识
用户需要认识到网络安全的重要性,注意密码的保护、定期更改密码,不要将密码直接暴露在聊天框中,并且也要通过安全的方式连接ChatGPT。
3、借助第三方工具进行加密传输
用户还可以采用第三方工具,如加密插件或VPN等工具来确保通信的安全,从而避免隐私泄露。在输入敏感信息时,建议使用端到端加密的应用程序,例如Signal Messenger等。同时,用户还可以启用浏览器的隐私模式来保护自己的数据。