OpenAI: الخطأ تسرب من بيانات مستخدم ChatGPT الحساسة

أُجبرت شركة OpenAI على إيقاف روبوت ChatGPT المشهور بشكل كبير من أجل الصيانة الطارئة يوم الثلاثاء بعد أن تمكن المستخدم من استغلال خطأ في النظام لاستدعاء العناوين من سجلات الدردشة للمستخدمين الآخرين. وأعلنت الشركة يوم الجمعة نتائجها الأولية من الحادث.

في حادثة يوم الثلاثاء ، نشر المستخدمون لقطات شاشة على Reddit توضح أن أشرطة ChatGPT الجانبية الخاصة بهم تضم سجلات دردشة سابقة من مستخدمين آخرين. كان عنوان المحادثة فقط ، وليس النص نفسه ، مرئيًا. رداً على ذلك ، قامت شركة OpenAI بإيقاف تشغيل الروبوت لمدة 10 ساعات تقريبًا للتحقيق في الأمر. كشفت نتائج هذا التحقيق عن مشكلة أمنية أعمق: ربما يكون خطأ سجل الدردشة قد كشف أيضًا عن بيانات شخصية من 1.2 بالمائة من مشتركي ChatGPT Plus (حزمة وصول محسّنة بقيمة 20 دولارًا شهريًا).

"في الساعات التي سبقت تشغيل ChatGPT في وضع عدم الاتصال يوم الاثنين ، كان من الممكن لبعض المستخدمين رؤية الاسم الأول والأخير لمستخدم آخر نشط وعنوان البريد الإلكتروني وعنوان الدفع والأرقام الأربعة الأخيرة (فقط) من رقم بطاقة الائتمان وبطاقة الائتمان تاريخ انتهاء الصلاحية. لم يتم الكشف عن الأرقام الكاملة لبطاقات الائتمان في أي وقت "، كتب فريق OpenAI يوم الجمعة. تم تصحيح المشكلة منذ ذلك الحين للمكتبة المعيبة التي حددها OpenAI على أنها مكتبة Redis client مفتوحة المصدر ، redis-py.

قللت الشركة من احتمال حدوث مثل هذا الانتهاك ، بحجة أنه يجب استيفاء أي من المعايير التالية لتعريض المستخدم للخطر:

 

- افتح رسالة بريد إلكتروني لتأكيد الاشتراك مُرسلة يوم الاثنين ، 20 مارس ، بين الساعة 1 صباحًا و 10 صباحًا بتوقيت المحيط الهادئ. بسبب الخطأ ، تم إرسال بعض رسائل البريد الإلكتروني لتأكيد الاشتراك التي تم إنشاؤها أثناء تلك النافذة إلى المستخدمين الخطأ. تحتوي رسائل البريد الإلكتروني هذه على آخر أربعة أرقام من رقم بطاقة ائتمان مستخدم آخر ، ولكن لم تظهر الأرقام الكاملة لبطاقات الائتمان. من المحتمل أن عددًا صغيرًا من رسائل البريد الإلكتروني الخاصة بتأكيد الاشتراك ربما تمت معالجتها بشكل غير صحيح قبل 20 آذار (مارس) ، على الرغم من أننا لم نؤكد أي أمثلة على ذلك.

- في ChatGPT ، انقر على "حسابي" ، ثم "إدارة اشتراكي" بين الساعة 1 صباحًا و 10 صباحًا بتوقيت المحيط الهادي يوم الاثنين 20 مارس. خلال هذه النافذة ، يظهر الاسم الأول والأخير لمستخدم آخر نشط في ChatGPT Plus وعنوان البريد الإلكتروني وعنوان الدفع ، قد تكون الأرقام الأربعة الأخيرة (فقط) من رقم بطاقة الائتمان وتاريخ انتهاء صلاحية بطاقة الائتمان مرئية. من المحتمل أن يكون هذا قد حدث أيضًا قبل 20 مارس ، على الرغم من أننا لم نؤكد أي حالة من هذا القبيل.

اتخذت الشركة خطوات إضافية لمنع حدوث ذلك مرة أخرى في المستقبل ، بما في ذلك إضافة عمليات تحقق زائدة إلى مكالمات المكتبة ، و "فحص سجلاتنا برمجيًا للتأكد من أن جميع الرسائل متاحة فقط للمستخدم الصحيح" ، و "تحسين التسجيل لتحديد متى هذا يحدث ويؤكدون تماما أنه توقف ". تقول الشركة إنها تواصلت أيضًا لتنبيه المستخدمين المتأثرين بالمشكلة.

تتبع هذه الأخبار خطأً عامًا مكلفًا ارتكبته شركة Bard AI المنافسة لشركة Google في فبراير عندما أكدت بشكل غير صحيح على Twitter أن JWST كان أول تلسكوب يصور كوكبًا خارج المجموعة الشمسية ، بالإضافة إلى الكشف عن استخدام CNET خلسةً للذكاء الاصطناعي لكتابة منشورات التفسير المالي ( قبل أسبوع من تسريح جزء كبير من قسم التحرير بها). يبقى أن نرى ما إذا كانت أوبن إيه آي ستعاني من نفس التداعيات القائمة على السوق مثل منافسيها.