海外メディアの報道によると、2023年3月20日にOpenAIのChatGPTで世界的な障害が発生し、ユーザーの懸念を引き起こした。しかし、サービスに重大な脆弱性が発見された後、OpenAI は脆弱性に関する詳細を積極的に開示しました。
共有された詳細によると、OpenAI はユーザーのプライバシーを侵害する可能性のある脆弱性に気づいた後、ChatGPT をオフラインにしました。具体的には、この脆弱性は Redis クライアントのオープンソース ライブラリに影響を及ぼします。このライブラリにより、ユーザーが通信する際にチャット情報やタイトルが他のユーザーに公開される可能性があります。ChatGPT は、このライブラリを使用してユーザー情報をキャッシュし、リクエスト中に接続をリサイクルし、共有接続プールを維持し、複数の Redis インスタンス間で負荷を分散します。
この脆弱性は、受信リクエストがキューに到着し、送信応答がポップされる前にキャンセルされた場合に発生することが明らかになりました。リクエストが受信キューにプッシュされた後、応答が送信キューからポップされる前にキャンセルされた場合、脆弱性がわかります。つまり、接続が破損し、無関係なリクエストに対する次の応答がキューに残ったまま受信される可能性があります。の接続データ。この場合の結果はほとんどがサーバー エラーですが、場合によっては、無関係なユーザーからキャッシュされたデータがユーザーに表示されることもあります。ほとんどの場合、これにより回復不能なサーバー エラーが発生し、ユーザーはリクエストを再試行する必要がありました。ただし、場合によっては、破損したデータがリクエスターが予期していたデータ型と偶然一致するため、キャッシュから返された結果が別のユーザーのものであっても有効に見えることがあります。
この侵害は、太平洋時間の午前 1 時から午前 10 時までの 9 時間の間に発生しました。このバグにより、ユーザーの会話が公開されるだけでなく、有料購読者の支払い詳細も他のユーザーに公開されてしまいました。漏洩した詳細には氏名、電子メール アドレス、請求先住所、クレジット カード番号の下 4 桁、カードの有効期限が含まれるため、これはデリケートな問題となる可能性があります。
この脆弱性を発見した後、OpenAI は ChatGPT をオフラインにし、脆弱性の修正を開始しました。脆弱性にパッチを当て、追加のセキュリティ チェックを導入して、ユーザーが望ましい応答を確実に得られるようにしました。同社はまた、バグの影響を受けるユーザーを特定し、問題について通知した。このサービスは、ChatGPT ユーザーの脆弱性を迅速に修正した Redis の功績も称えています。この脆弱性は修正されていますが、ユーザー (主に有料加入者) は、悪意のある取引の可能性を回避するために、銀行に連絡して適切な監視を依頼することを検討することをお勧めします。
ChatGPT 製品を使用する場合、上記の問題が警鐘を鳴らしていますが、使用中はプライバシーの漏洩を避けるために次のことを行う必要があります。
1. 機密性の高い個人情報の入力を制限する
不必要なリスクを避けるために、ChatGPT の会話では ID 番号、銀行カード番号、その他の機密情報などの個人情報を入力しすぎないように注意してください。
2. ネットワークセキュリティ意識の強化
ユーザーは、ネットワーク セキュリティの重要性を認識し、パスワードの保護に注意し、パスワードを定期的に変更し、チャット ボックスにパスワードを直接公開せず、安全な方法で ChatGPT に接続する必要があります。
3. サードパーティツールを利用した暗号化された送信
ユーザーは、暗号化プラグインや VPN ツールなどのサードパーティ ツールを使用して通信のセキュリティを確保し、プライバシーの漏洩を回避することもできます。機密情報を入力する場合は、Signal Messenger などのエンドツーエンド暗号化アプリケーションを使用することをお勧めします。同時に、ユーザーはブラウザのプライバシー モードを有効にしてデータを保護することもできます。