OpenAI می گوید یک باگ اطلاعات حساس کاربر ChatGPT را فاش کرده است

OpenAI مجبور شد روز سه شنبه ربات ChatGPT بسیار محبوب خود را برای تعمیر و نگهداری اضطراری آفلاین کند، زیرا یک کاربر توانست از یک باگ در سیستم برای یادآوری عناوین تاریخچه چت سایر کاربران سوء استفاده کند. روز جمعه این شرکت یافته های اولیه خود را از این حادثه اعلام کرد.

در حادثه روز سه‌شنبه، کاربران اسکرین‌شات‌هایی را در Reddit ارسال کردند که نشان می‌داد نوارهای کناری ChatGPT آن‌ها سابقه چت قبلی کاربران دیگر را نشان می‌داد. فقط عنوان گفتگو و نه خود متن قابل مشاهده بود. OpenAI در پاسخ، ربات را نزدیک به 10 ساعت آفلاین کرد تا بررسی کند. نتایج آن بررسی یک مشکل امنیتی عمیق‌تر را نشان داد: باگ تاریخچه چت ممکن است به طور بالقوه داده‌های شخصی 1.2 درصد از مشترکان ChatGPT Plus را نیز فاش کند (بسته دسترسی پیشرفته 20 دلاری در ماه).

“در ساعاتی قبل از اینکه ChatGPT را در روز دوشنبه آفلاین کنیم، برای برخی از کاربران این امکان وجود داشت که نام و نام خانوادگی، آدرس ایمیل، آدرس پرداخت، چهار رقم آخر (فقط) شماره کارت اعتباری و کارت اعتباری کاربر فعال دیگر را ببینند. تاریخ انقضا. شماره کارت اعتباری کامل در هیچ زمانی در معرض دید قرار نگرفت.» تیم OpenAI روز جمعه نوشت. این مشکل از آن زمان برای کتابخانه معیوب که OpenAI آن را به عنوان کتابخانه منبع باز مشتری Redis، redis-py شناسایی کرد، اصلاح شد.

این شرکت احتمال وقوع چنین نقضی را کم اهمیت جلوه داده است و استدلال می کند که برای قرار دادن کاربر در معرض خطر باید یکی از معیارهای زیر رعایت شود:

– یک ایمیل تأیید اشتراک ارسال شده در روز دوشنبه، 20 مارس، بین ساعت 1 صبح تا 10 صبح به وقت اقیانوس آرام باز کنید. به دلیل وجود اشکال، برخی از ایمیل‌های تأیید اشتراک که در آن پنجره ایجاد شده‌اند، برای کاربران اشتباه ارسال شدند. این ایمیل ها حاوی چهار رقم آخر شماره کارت اعتباری کاربر دیگری بود، اما شماره کارت اعتباری کامل ظاهر نشد. این امکان وجود دارد که تعداد کمی از ایمیل‌های تأیید اشتراک پیش از ۲۰ مارس به اشتباه آدرس‌دهی شده باشند، اگرچه ما هیچ موردی از این موضوع را تأیید نکرده‌ایم.

– در ChatGPT، روی «حساب من» و سپس «مدیریت اشتراک من» بین ساعت 1 صبح تا 10 صبح به وقت اقیانوس آرام در روز دوشنبه، 20 مارس، کلیک کنید. در این پنجره، یکی دیگر فعال ممکن است نام و نام خانوادگی کاربر ChatGPT Plus، آدرس ایمیل، آدرس پرداخت، چهار رقم آخر (فقط) شماره کارت اعتباری و تاریخ انقضای کارت اعتباری قابل مشاهده باشد. ممکن است این اتفاق قبل از 20 مارس نیز رخ داده باشد، اگرچه ما هیچ موردی از آن را تایید نکرده ایم.

این شرکت اقدامات بیشتری را برای جلوگیری از تکرار این اتفاق در آینده انجام داده است، از جمله افزودن چک‌های اضافی به تماس‌های کتابخانه، «به‌طور برنامه‌ریزی گزارش‌های ما را بررسی کرد تا مطمئن شود که همه پیام‌ها فقط برای کاربر صحیح در دسترس هستند»، و «ثبت‌نویسی بهبود یافته برای شناسایی زمان این اتفاق می افتد و کاملاً تأیید کنید که متوقف شده است.” این شرکت می‌گوید که به کاربران آسیب‌دیده از این مشکل نیز هشدار داده است.

این خبر به دنبال یک تقلب عمومی پرهزینه توسط رقیب Google Bard AI در ماه فوریه است که به اشتباه به توییتر اطمینان داد که JWST اولین تلسکوپی است که از یک سیاره فراخورشیدی تصویربرداری کرده است، و همچنین افشاگری هایی مبنی بر اینکه CNET به طور مخفیانه از هوش مصنوعی مولد برای نوشتن پست های توضیح دهنده مالی استفاده کرده است. یک هفته قبل از اخراج بخش قابل توجهی از بخش تحریریه خود). اینکه آیا OpenAI همان عواقب بازار محور را مانند رقبای خود متحمل خواهد شد، باید دید.