人工智能聊天機械人ChatGPT的開發商OpenAI於近日證實發生一宗重大數據洩露事件,起因於其使用的第三方網絡分析工具Mixpanel存在安全漏洞。該公司已向受影響用戶發送電郵,確認部分用戶數據遭到外洩,並強調「透明度對我們很重要」。此次事件主要影響使用OpenAI API接口(platform.openai.com)的用戶,而ChatGPT本身的用戶則未受波及。
根據OpenAI向用戶發送的郵件內容,此次安全事件並非源於OpenAI自身系統的漏洞,而是發生在數據分析服務商Mixpanel的系統中。攻擊者未經授權存取了Mixpanel的部分系統,並導出了一個包含有限客戶身份資訊和分析數據的資料集。OpenAI強調,用戶的聊天內容、API請求、API使用數據、密碼、憑證、API密鑰、支付詳情或政府身份證件均未在此次事件中被洩露或受損。
外洩資料範圍與影響
儘管核心敏感資訊未受影響,但此次洩露的數據仍然涵蓋了多項個人與技術資訊。根據OpenAI的聲明,受影響的資料包括:用戶在platform.openai.com上提供給帳戶的姓名、與API帳戶關聯的電郵地址、由IP地址和網絡瀏覽器決定的「粗略概約位置」、操作系統(OS)和瀏覽器類型、引薦網站來源,以及儲存到API帳戶中的組織和用戶ID。這些資料可能被不法分子用於發動釣魚攻擊或社交工程詐騙。
事件的時間線顯示,Mixpanel在2025年11月9日發現攻擊者入侵,並隨即通知OpenAI展開調查。至11月25日,Mixpanel與OpenAI分享了受影響的資料集。OpenAI在收到資料集的兩天後便開始通知用戶,此舉被認為是及時的反應,但事件本身也引發了外界對其數據安全管理態度的擔憂。這並非OpenAI首次因用戶私隱和安全問題而受到關注。
OpenAI的回應與後續措施
在確認此次洩露事件後,OpenAI表示已暫停與Mixpanel的接口連接,並對事件進行深入調查。公司強烈建議所有用戶對可能利用被盜數據的釣魚郵件和社交工程詐騙保持高度警惕。隨著越來越多的個人和組織將敏感資訊託付給ChatGPT等人工智能系統,像OpenAI和微軟(Microsoft)這樣的科技巨頭,其安全措施正受到日益嚴格的審視。
儘管此次事件未洩露最敏感的ChatGPT對話內容,但第三方供應商的漏洞足以造成用戶數據外洩,這無疑削弱了用戶對該平台的信心。專家提醒,在現今數據洩露頻繁的網絡環境中,用戶應為所有帳戶啟用多重因素認證(multi-factor authentication),以增強個人帳戶的安全性。
來源:windowscentral.com
封面來源:Adobe Stock
