OpenAI đã buộc phải tắt bot ChatGPT cực kỳ phổ biến của mình để bảo trì khẩn cấp vào thứ Ba sau khi một người dùng có thể khai thác một lỗi trong hệ thống để gọi lại các tiêu đề từ lịch sử trò chuyện của những người dùng khác. Vào thứ Sáu, công ty đã công bố những phát hiện ban đầu từ vụ việc.
Trong sự cố hôm thứ Ba, người dùng đã đăng ảnh chụp màn hình trên Reddit rằng thanh bên ChatGPT của họ hiển thị lịch sử trò chuyện trước đó từ những người dùng khác. Chỉ có tiêu đề của cuộc trò chuyện, không phải văn bản, được hiển thị. Đáp lại, OpenAI đã đưa bot vào chế độ ngoại tuyến trong gần 10 giờ để điều tra. Kết quả của cuộc điều tra đó đã tiết lộ một vấn đề bảo mật sâu hơn: lỗi lịch sử trò chuyện cũng có khả năng tiết lộ dữ liệu cá nhân của 1,2% người đăng ký ChatGPT Plus (gói truy cập nâng cao $20/tháng).
“Trong vài giờ trước khi chúng tôi ngừng ChatGPT vào thứ Hai, một số người dùng có thể thấy họ và tên, địa chỉ email, địa chỉ thanh toán, bốn chữ số cuối (chỉ) của số thẻ tín dụng và thẻ tín dụng của một người dùng đang hoạt động khác. ngày hết hạn. Số thẻ tín dụng đầy đủ không bị lộ bất cứ lúc nào”, nhóm OpenAI đã viết hôm thứ Sáu. Sự cố đã được vá cho thư viện bị lỗi mà OpenAI đã xác định là thư viện mã nguồn mở máy khách Redis, redis-py.
Công ty đã hạ thấp khả năng xảy ra vi phạm như vậy, lập luận rằng một trong các tiêu chí sau sẽ phải được đáp ứng để khiến người dùng gặp rủi ro:
– Mở email xác nhận đăng ký được gửi vào Thứ Hai, ngày 20 tháng 3, từ 1 giờ sáng đến 10 giờ sáng theo giờ Thái Bình Dương. Do lỗi này, một số email xác nhận đăng ký được tạo trong khoảng thời gian đó đã được gửi đến nhầm người dùng. Những email này chứa bốn chữ số cuối của số thẻ tín dụng của người dùng khác, nhưng số thẻ tín dụng đầy đủ không xuất hiện. Có thể một số lượng nhỏ email xác nhận đăng ký đã được gửi sai địa chỉ trước ngày 20 tháng 3, mặc dù chúng tôi chưa xác nhận bất kỳ trường hợp nào về việc này.
– Trong ChatGPT, nhấp vào “Tài khoản của tôi”, sau đó nhấp vào “Quản lý đăng ký của tôi” từ 1 giờ sáng đến 10 giờ sáng theo giờ Thái Bình Dương vào Thứ Hai, ngày 20 tháng 3. Trong cửa sổ này, một cửa sổ khác tích cực Họ và tên, địa chỉ email, địa chỉ thanh toán, bốn chữ số cuối (chỉ) của số thẻ tín dụng và ngày hết hạn của thẻ tín dụng có thể đã được hiển thị. Có thể điều này cũng có thể xảy ra trước ngày 20 tháng 3, mặc dù chúng tôi chưa xác nhận bất kỳ trường hợp nào về điều này.
Công ty đã thực hiện các bước bổ sung để ngăn điều này xảy ra lần nữa trong tương lai, bao gồm thêm kiểm tra dư thừa vào các lệnh gọi thư viện, “kiểm tra nhật ký của chúng tôi theo chương trình để đảm bảo rằng tất cả thư chỉ có sẵn cho đúng người dùng” và “cải tiến ghi nhật ký để xác định khi nào điều này đang xảy ra và hoàn toàn xác nhận rằng nó đã dừng lại.” Công ty nói rằng họ cũng đã liên hệ để cảnh báo những người dùng bị ảnh hưởng về vấn đề này.
Tin tức này theo sau một hành động giả mạo công khai tốn kém do đối thủ của Google là Bard AI cam kết vào tháng 2 khi hãng này đảm bảo sai trên Twitter rằng JWST là kính viễn vọng đầu tiên chụp ảnh một ngoại hành tinh, cũng như tiết lộ rằng CNET đã lén lút sử dụng AI để viết các bài giải thích về tài chính ( một tuần trước khi sa thải một bộ phận khá lớn trong ban biên tập của nó). Liệu OpenAI có chịu những tác động dựa trên thị trường giống như các đối thủ cạnh tranh của nó hay không vẫn còn phải xem.
