Несанкционированное подключение к ChatGPT-4 через скомпроментированные ключи на доступ к OpenAI API
Иногда, когда разработчики используют технологии как OpenAI в работе или проектах, они могут непреднамеренно оставить ключи доступа, а это может привести к нежелательным последствиям. Давайте подумаем об этом как о случайно забытом ключе от дома, который может быть использован недобросовестными людьми для проникновения внутрь.
Проблема заключается в том, что некоторые разработчики случайно оставляют эти ключи доступа прямо в коде своих приложений или проектов. Это может привести к тому, что люди с недобрыми намерениями, вроде интернет-хакеров, могут собирать эти ключи из публично доступных источников, например, из проектов на GitHub, и распространять их через социальные сети и чаты.
Возьмем в качестве примера ситуацию на GitHub: можно легко обнаружить более 50 тысяч ключей доступа к OpenAI, которые были опубликованы в общественное пространство. Это прямо как оставить золотую жилу открытой для интернет-пиратов, которые могут использовать эти ключи для бесплатного доступа к весьма мощным системам искусственного интеллекта, таким как GPT-4.
В недавнем случае, модераторы канала на Discord под названием r/ChatGPT были вынуждены заблокировать пользователя с псевдонимом Discodtehe, который активно рекламировал свою "коллекцию" ключей доступа к OpenAI, найденных на платформе для совместной работы Replit. Данный пользователь также с марта рекламировал свои ключи на другом канале r/ChimeraGPT, обещая бесплатный доступ к GPT-4 и GPT-3.5-turbo.
И, как оказалось, находить ключи доступа к OpenAI на Replit тоже не так уж и сложно. Вам просто нужно зарегистрировать аккаунт на сайте и использовать функцию поиска.
OpenAI ведет активную работу по обеспечению безопасности. Они регулярно проводят сканирование больших публичных репозиториев в поисках утечек своих ключей и аннулируют обнаруженные ключи. Также они рекомендуют пользователям не раскрывать свои токены и не хранить их в клиентском коде, который может быть доступен для браузеров и других приложений. Помимо этого, полезно время от времени обновлять свой API-ключ и, в случае его утраты или компрометации, немедленно его заменить.
Иногда, когда разработчики используют технологии как OpenAI в работе или проектах, они могут непреднамеренно оставить ключи доступа, а это может привести к нежелательным последствиям. Давайте подумаем об этом как о случайно забытом ключе от дома, который может быть использован недобросовестными людьми для проникновения внутрь.
Проблема заключается в том, что некоторые разработчики случайно оставляют эти ключи доступа прямо в коде своих приложений или проектов. Это может привести к тому, что люди с недобрыми намерениями, вроде интернет-хакеров, могут собирать эти ключи из публично доступных источников, например, из проектов на GitHub, и распространять их через социальные сети и чаты.
Возьмем в качестве примера ситуацию на GitHub: можно легко обнаружить более 50 тысяч ключей доступа к OpenAI, которые были опубликованы в общественное пространство. Это прямо как оставить золотую жилу открытой для интернет-пиратов, которые могут использовать эти ключи для бесплатного доступа к весьма мощным системам искусственного интеллекта, таким как GPT-4.
В недавнем случае, модераторы канала на Discord под названием r/ChatGPT были вынуждены заблокировать пользователя с псевдонимом Discodtehe, который активно рекламировал свою "коллекцию" ключей доступа к OpenAI, найденных на платформе для совместной работы Replit. Данный пользователь также с марта рекламировал свои ключи на другом канале r/ChimeraGPT, обещая бесплатный доступ к GPT-4 и GPT-3.5-turbo.
И, как оказалось, находить ключи доступа к OpenAI на Replit тоже не так уж и сложно. Вам просто нужно зарегистрировать аккаунт на сайте и использовать функцию поиска.
OpenAI ведет активную работу по обеспечению безопасности. Они регулярно проводят сканирование больших публичных репозиториев в поисках утечек своих ключей и аннулируют обнаруженные ключи. Также они рекомендуют пользователям не раскрывать свои токены и не хранить их в клиентском коде, который может быть доступен для браузеров и других приложений. Помимо этого, полезно время от времени обновлять свой API-ключ и, в случае его утраты или компрометации, немедленно его заменить.