یک اشکال سابقه چت، داده های شخصی و صورتحساب کاربران ChatGPT را نشان داد

OpenAI تایید کرده است که یک آسیب پذیری در کتابخانه منبع باز redis-py ریشه در نشت داده های ChatGPT در هفته گذشته بود.

نه تنها برخی از کاربران ChatGPT قادر به انجام این کار بودند دیدن کاربران دیگر از چت ربات هوش مصنوعی برای چه چیزی استفاده می کردند، اما اطلاعات محدود شخصی و صورتحساب نیز در نهایت فاش شد.

نشت داده های ChatGPT چگونه اتفاق افتاد؟

ChatGPT در 20 مارس دچار اختلال شد و سپس در دسترسی کاربران به تاریخچه مکالمه با مشکل مواجه شد.

اما معلوم شد که این یک مشکل جدی تر است:

OpenAI به 1.2 درصد از مشترکان ChatGPT Plus از طریق ایمیل اطلاع داد: «در طول یک پنجره نه ساعته در 20 مارس 2023، کاربر دیگری ChatGPT ممکن است به طور ناخواسته اطلاعات صورت‌حساب شما را هنگام کلیک کردن روی صفحه «مدیریت اشتراک» خود دیده باشد.

اطلاعات صورت‌حساب دیگری که ممکن است کاربر دیگر دیده باشد شامل نام و نام خانوادگی، آدرس صورت‌حساب، نوع کارت اعتباری، تاریخ انقضای کارت اعتباری و چهار رقم آخر کارت اعتباری شما است. این اطلاعات شامل شماره کامل کارت اعتباری شما نمی‌شود، و ما هیچ مدرکی مبنی بر مشاهده اطلاعات مشتری توسط بیش از یک کاربر ChatGPT نداریم.

در مورد تاریخچه چت فاش شده، خبر خوب این است که فقط عناوین پیام های مکالمه قابل دسترسی بودند.

تحقیقات داخلی OpenAI به یک اشکال در کتابخانه منبع باز مشتری Redis redis-py اشاره کرد.

همانطور که شرکت توضیح می دهد، آنها از Redis برای ذخیره اطلاعات کاربر در سرور خود، از Redis Cluster برای توزیع این بار روی چندین نمونه Redis و کتابخانه redis-py برای رابط با Redis از سرور پایتون خود که با Asyncio اجرا می شود، استفاده می کنند.

“کتابخانه یک مجموعه مشترک از اتصالات بین سرور و خوشه را حفظ می کند و یک اتصال را بازیافت می کند تا پس از انجام درخواست دیگر از آن استفاده شود. هنگام استفاده از Asyncio، درخواست‌ها و پاسخ‌های دارای redis-py مانند دو صف رفتار می‌کنند: تماس‌گیرنده درخواستی را به صف ورودی فشار می‌دهد و پاسخی را از صف خروجی می‌فرستد و سپس اتصال را به استخر باز می‌گرداند. اگر درخواستی پس از ارسال درخواست به صف ورودی لغو شود، اما قبل از اینکه پاسخ از صف خروجی ظاهر شود، باگ خود را می بینیم: بنابراین اتصال خراب می شود و پاسخ بعدی که برای یک درخواست نامرتبط در صف قرار می گیرد می تواند داده های باقی مانده را دریافت کند. در ارتباط،» آنها خاطرنشان کردند.

متأسفانه، آن دوشنبه آنها تغییری در سرور خود ایجاد کردند که باعث افزایش در لغو درخواست‌های Redis شد، بنابراین بسیاری از اتصالات منجر به بازگشت داده‌های بد شدند.

رفع مشکل

از آن زمان این باگ اصلاح شده است و OpenAI بررسی هایی را اضافه کرده است تا مطمئن شود کاربران درخواست کننده داده های متعلق به سایر کاربران را دریافت نمی کنند. سپس آن‌ها سیاهه‌های مربوط به خود را ترال کردند تا مطمئن شوند که رفتار ناخواسته متوقف شده و کاربران آسیب‌دیده را شناسایی کنند.

در نهایت، آنها می گویند، آنها استحکام و مقیاس خوشه Redis خود را بهبود بخشیده اند تا احتمال خطاهای اتصال در بارگذاری شدید را کاهش دهند – یک اقدام عاقلانه با توجه به محبوبیت عظیم ChatGPT.

تخمین زده می شود که چت ربات هوش مصنوعی در ژانویه 2023، تنها دو ماه پس از راه اندازی، به 100 میلیون کاربر فعال ماهانه رسیده است.

هم در بین مصرف کنندگان و هم در بین مشاغل محبوب است، اگرچه دومی باید اطمینان حاصل کند که آن و OpenAI همانند هر برنامه دیگری تحت فرآیند مدیریت ریسک شخص ثالث قرار می گیرند.