根據工程師 Pedro José Pereira Vieito 在社群頁面上分享的影片。可以看到透過他自製的擷取應用。只要使用者與 ChatGPT app 進行聊天後,即可透過簡單的讀取聊天內容按鈕即可看到所有的對話內容(超傻眼!)。繼續閱讀 OpenAI 資安接連出包:ChatGPT 桌面 App 加密不設防、內部訊息系統被駭還「剛好」火了吹哨者報導內文。
▲圖片來源:Pedro José Pereira Vieito
OpenAI 資安接連出包:ChatGPT 桌面 App 加密不設防、內部訊息系統被駭還「剛好」火了吹哨者
隨著蘋果開發者大會宣布了「蘋果智慧」的相關 AI 功能發表之後。
一直以來對於 OpenAI 非常有意見的 Elon Musk,對於蘋果宣布 ChatGPT 將成為首個 Apple Intelligence 整合支援的生成式 AI 服務,第一時間就發出嚴重的質疑。揚言將會因為資訊安全的疑慮而要求自己旗下所有企業都必須禁用可能將整合 ChatGPT 服務的蘋果桌面與行動系統。
這新聞雖然應該不少人都當總愛大砲發言的 Elon Musk 有點過度反應在看。不過 OpenAI 現在看起來就像是在給馬老闆送頭一樣,接連爆出不少資安毫不設防的相關新聞 – 其中一個還算是相當低級的失誤。
根據工程師 Pedro José Pereira Vieito 在社群頁面上分享,分析 macOS 版本 ChatGPT 的資安漏洞之後所進行的應用示範影片。可以看到透過他自製的擷取/偷取(ChatGPTStealer)應用。只要使用者與 ChatGPT app 進行聊天後,即可透過簡單的讀取聊天內容按鈕即可看到所有的對話內容。
這部份基本上 Pereira Vieito 並沒有用到什麼太高超的駭客技巧,因為桌面版的 ChatGPT 根本就沒有對使用者對話資料進行加密,因此完全可以說是對於資安毫不設防的狀態(而且可以直接循檔案路徑找到聊天資料的文字檔…)。
▲圖片來源:Pedro José Pereira Vieito
就工程師 Pereira Vieito 的說法。他先是發現 macOS 版本的 ChatGPT app 並沒有採用沙盒的應用安全機制。因此很好奇 OpenAI 是採用了什麼樣的手段來保護資訊安全。結果獲得的就是沒有加密的聊天內容的傻眼狀況這樣。
外媒 The Verge 的編輯也嘗試重現了這個資安不設防的漏洞,證實 Mac 版 ChatGPT 的確有這個相當誇張的漏洞,並且聯繫了 OpenAI 取得說法。
OpenAI 發言人 Taya Christianson 則是向外媒表示「對於此問題,我們已經意識到並發布了新版本應用程式,用以加密這些對話內容… 我們致力於提供友善的使用者體驗,同時也隨著科技發展,維持高標準的安全性。」
在安裝了更新之後,後續外媒也確認以 Pereira Vieito 的應用乃至於直接尋找資料檔案的方式基本上都無法再直接取得聊天資料。基本上這個漏洞應該算是初步獲得了解決。
▲圖:單刀直入直接問 AI,獲得了幻想的答覆(無誤)(來源:Pedro José Pereira Vieito)
是說,雖然這似乎不能怪 Apple – 畢竟這是要另行下載的 App,所以沒有遵循 App Store 規定的沙盒等安全機制,也不能說是審核機制失靈。
然而外媒 Engadget 也點出,OpenAI 先前才發生過內部訊息系統被駭客攻擊,並且還疑似針對性的解雇了吹哨者的狀況 – 雖然官方否認解雇與揭發問題有關。
▲圖片來源:Apple
但這樣的資安狀況接連爆,的確也讓 Elon Musk 對於 OpenAI 的持續抨擊質疑似乎有了更多的著力點。更讓人對於這間公司對於隱私的原則態度有所疑慮。
畢竟,雖然現在看來已經修正了桌面應用的漏洞。但仔細想想,本來聊天的內容就有條款提到可能被人工檢視。對於這樣的狀況,先前大家基本上就只能抱持著信任的態度看待 OpenAI 的相關隱私機制(因為這樣,公司的信譽與企業精神就顯得相當重要)。
現在看來,當資安問題頻傳導致的企業形象與信任問題漸漸浮上檯面後,就不知道未來與蘋果等公司的整合合作是否會有變化了 – 估計是還好?畢竟 Apple 的整合方式是會很清楚告知將會把 AI 任務移交給外部服務處理。
總而言之,有下載安裝 macOS 版 ChatGPT 的朋友,建議大家儘快檢查更新安裝最新的版本吧!不然你的聊天內容真的可以說是完全不設防啊。