OpenAI 曝新漏洞,允許新用戶“無限試用”
發(fā)布時(shí)間 2023-05-04不久前,OpenAI 為了讓用戶嘗試其他開放的人工智能項(xiàng)目,特意為新用戶提供了免費(fèi)的信用積分額度(約7美元)。隨后網(wǎng)絡(luò)安全公司Checkmarx表示,目前發(fā)現(xiàn)了一個(gè)漏洞,允許用戶濫用試用,并在新賬戶上獲得無限的信用積分額度。通過該漏洞,用戶可以免費(fèi)獲得無限的信用額度來測(cè)試不同的OpenAI項(xiàng)目,包括ChatGPT。
研究人員表示:通過攔截和修改OpenAI的API請(qǐng)求,我們發(fā)現(xiàn)了這一漏洞。該漏洞能夠使用同一個(gè)電話號(hào)碼注冊(cè)任意數(shù)量的賬戶,獲得無限的免費(fèi)積分額度。
為了注冊(cè)試用,用戶必須輸入他們的電子郵件地址,點(diǎn)擊發(fā)送到收件箱的激活鏈接,輸入一個(gè)電話號(hào)碼,然后輸入短信驗(yàn)證碼。電子郵件和電話號(hào)碼都必須是唯一的,用戶才能獲得免費(fèi)的積分額度。
然而,不法分子為了讓同一賬戶獲得更多的信用積分額度。他們對(duì)電話號(hào)碼進(jìn)行細(xì)微的改動(dòng),例如在國家/地區(qū)代碼前面添加前綴。最終,他們通過使用同一電話號(hào)碼的不同前綴的變化繞過了要求。
研究人員解釋說:這一漏洞允許一個(gè)惡意的用戶擁有多個(gè)賬戶,并獲得更多的信用積分額度,而且用的是同一個(gè)電話號(hào)碼。但這對(duì)他們來說似乎還不夠,因?yàn)樗麄兿雽⑿庞梅e分值提高到一個(gè)更恐怖的數(shù)額。
然后,研究人員將開源工具REcollapse投入使用。這允許用戶模糊輸入和繞過驗(yàn)證等。經(jīng)過一些初步測(cè)試,觀察到OpenAI API對(duì)一些模式進(jìn)行了清理。在某些非ASCII(美國信息交換標(biāo)準(zhǔn)代碼)字節(jié)上使用Unicode編碼使我們能夠繞過它并注冊(cè)更多帳戶。
目前該公司在收到通知后修復(fù)了該漏洞。