警告!外网惊爆GPT-4大量API秘钥被盗,被盗账户损失超过15万美元
AI奇点网6月8日报道 | 最近有部分开发者反馈,他们通过国外某社区可以直接获取免费的ChatGPT GPT-4 API密钥,而正常来说,申请开发者API密钥是需要付费给OpenAI的。根据国外媒体透露,外国有一名黑客利用窃取的OpenAI API密钥绕过付费限制,并通过网站和专用Discord服务器免费分享被盗的高价值访问权限。这一行为引发了对OpenAI付费用户安全性的担忧。
近期发现了一件数据泄漏事件,一名黑客窃取了一个价值超过150000美元的OpenAI账户的访问权限,并向开放社区的500多名成员提供免费访问权限。他们还通过抓取一个允许协作编码项目的网站Replit上的源代码,意外发现了网站源代码里边包含OpenAI API密钥。
黑客已经使用了被盗的OpenAI API密钥有一段时间,并分享了账户使用量随时间增长的截图。最新的截图显示,本月已经使用了该价值150000美元账号里边的1039.37美元。
Replit是一家在线的协作编写代码工具的网站,用户可以在上边创建项目。但是有一些开发者会不小心将带有密钥的硬编码到直接导入他们的Repl代码中,而不是将其存储在Secrets安全编码中。
Replit网站的主管Ziniti表示,该公司会扫描项目以查找流行的API密钥类型,例如来自GitHub的密钥。在被国外媒体提醒有关这个新的API密钥问题后,Ziniti表示:“后续,Replit将加入密钥扫描系统,以确保用户在不小心暴露ChatGPT的密钥时,会得到警告。”
“(AIGC)是一个稳步发展的行业,所以迟早会出现犯罪,但我对它产生问题的速度如此之快感到震惊。盗窃公司账户肯定是不好的。”一位 ChatGPT社区的成员这样说道。
黑客的心思不止于此,他们计划正在计划比盗取密钥更进一步的行动。另一个名为ChimeraGPT的Discord服务器提供“免费访问GPT-4和GPT-3.5-turbo!”的服务。此外,黑客还创建了一个网站,允许人们申请免费访问OpenAI API。具有讽刺意味的是,该黑客网站也是托管在Replit上。
综上所述,黑客窃取OpenAI API密钥的行为不仅违反法律和道德准则,还给OpenAI的付费用户和整个AI社区带来了安全风险。OpenAI应该为付费用户加强安全系统管理,加强对API密钥的保护和安全审查机制,以避免来自外部未经授权的访问和滥用。开发人员和用户在开发APP时应遵循规范的开发规则,鼓励开发人员和用户采取更负责任的工作流程。确保API密钥的安全存储和使用,共同建立安全可靠的AI环境。