کشف یک باگ در ChatGPT- نمایش اطلاعات شخصی کاربران به یکدیگر

در روز جمعه، OpenAI اعلام کرد که باگی در کتابخانه Redis منبع انتشار اطلاعات شخصی و عناوین چت دیگر کاربران در سرویس ChatGPT این شرکت در هفته ی گذشته بود.

این خطا، که در تاریخ ۲۰ مارس ۲۰۲۳ کشف شد، به برخی کاربران اجازه داد تا توضیحات کوتاهی از مکالمات دیگر کاربران را از نوار تاریخچه چت مشاهده کنند و شرکت را به موقتی قطع سرویس چت بات واداشت.

“همچنین ممکن است پیام اول یک گفتگوی جدید در تاریخچه چت کسی دیگر قابل مشاهده باشد، اگر هر دو کاربر در همان زمان فعال باشند”، شرکت اظهار داشت.

این خطا از کتابخانه redis-py شروع شده است و باعث شده تا درخواست‌های لغو شده باعث از بین رفتن ارتباطات شود و اطلاعات غیرمرتبط کاربران به دست آید. همچنین یک تغییر سمت سرور توسط شرکت OpenAI به طور اشتباهی باعث افزایش لغو درخواست‌ها شده و باعث افزایش نرخ خطا شده است. این مشکل در حال حاضر برطرف شده است، اما شرکت OpenAI بیان کرده که این مشکل ممکن است در جاهای دیگر نیز تاثیر داشته باشد و باعث فاش شدن اطلاعات مربوط به پرداخت 1.2 درصد از مشترکین ChatGPT Plus در تاریخ 20 مارس بین ساعت 1 تا 10 صبح به وقت آمریکایی شود. این اطلاعات شامل نام و نام خانوادگی کاربر، آدرس ایمیل، آدرس پرداخت، چهار رقم آخر شماره کارت اعتباری و تاریخ انقضای آن بوده است. شرکت OpenAI بیان کرده که شماره کامل کارت اعتباری فاش نشده است و با مشترکین تماس گرفته و آنها را در خصوص این خطا آگاه کرده است. همچنین برای جلوگیری از این خطا در آینده، این شرکت از بررسی‌های دوباره برای اطمینان از تطابق داده‌های بازگشتی با درخواست کننده استفاده می‌کند.

این خطا توسط پژوهشگر امنیتی Gal Nagli کشف شده است و حفاظت‌های قرار داده شده توسط OpenAI را در chat.openai.com رد می‌کند تا اطلاعات حساس یک قربانی را بخواند. این با ایجاد یک لینک ویژه با استفاده از یک منبع .CSS به نقطه پایانی “chat.openai.com/api/auth/session/” دست‌یابی می‌شود و با فریب دادن قربانی برای کلیک بر روی لینک، باعث می‌شود پاسخ حاوی یک شی JSON با رشته accessToken در CDN Cloudflare ذخیره شود. سپس این پاسخ ذخیره شده به منبع CSS (که مقدار سرآیند CF-Cache-Status آن به HIT تنظیم شده است) توسط مهاجم برای جمع‌آوری اعتبارهای JSON Web Token (JWT) هدف و تصرف حساب استفاده می‌شود. Nagli گفت که باگ در دو ساعت پس از گزارش مسئولانه توسط OpenAI رفع شد، نشان دهنده شدت این مشکل است.

امنیت ChatGPT

چت‌جی‌پی‌تی یک مدل زبانی پیشرفته بر پایه شبکه‌های عصبی است که به‌طور گسترده در بسیاری از اپلیکیشن‌های چت و سیستم‌های هوش مصنوعی مورد استفاده قرار می‌گیرد. امنیت در این مدل‌ها مسئله‌ای بسیار حائز اهمیت است، زیرا هکرها می‌توانند از آنها برای انجام حملات فریب‌دهنده یا دسترسی به اطلاعات شخصی استفاده کنند.

اما چطور می‌توانیم چت‌جی‌پی‌تی را به شکلی امن پیاده‌سازی کنیم؟ در ادامه به بررسی برخی از روش‌های مهم امنیتی برای چت‌جی‌پی‌تی می‌پردازیم:

رمزنگاری داده‌ها:
یکی از مهمترین روش‌های امنیتی در چت‌جی‌پی‌تی، استفاده از رمزنگاری داده‌ها است. با این روش، داده‌هایی که بین کاربران چت‌می‌شوند، با استفاده از الگوریتم‌های رمزنگاری قابل خواندن نیستند. این الگوریتم‌ها به شکل محافظ پوششی برای داده‌های شما عمل می‌کنند و هکرها را از دسترسی به اطلاعات شما محروم می‌کنند.
استفاده از تشخیص سرقت اطلاعات:
این روش برای محافظت از چت‌ها در برابر افرادی است که سعی دارند با چت کردن با شما، اطلاعات شما را بدست آورند. در این روش، ما به شکلی برای تشخیص فردی که قصد دارد به عنوان شما در چت اقدام به اختلاس اطلاعات شما کند، یک الگوریتم راه‌اندازی می‌کنیم.
اعتبارسنجی کاربر:
یکی از روش‌های موثر در اعتبار سنجی کاربران در چت‌جی‌پی‌تی، استفاده از ورود دو مرحله‌ای (Two-Factor Authentication یا 2FA) است. در این روش، برای ورود به حساب کاربری، کاربر باید ابتدا نام کاربری و رمز عبور خود را وارد کند، سپس با وارد کردن یک کد یکبار مصرفی که به تلفن همراه ثبت شده است، هویت خود را تأیید کند.

دیدگاه ChatGPT درباره این خبر

OpenAI، شرکت پیشگام در حوزه هوش مصنوعی، در روز جمعه اعلام کرد که باگی در کتابخانه منبع باز Redis موجب افشای اطلاعات شخصی سایر کاربران و عناوین چت در سرویس ChatGPT شده است. این اتفاق می‌تواند به عنوان یک مسئله امنیتی جدی در نظر گرفته شود که می‌تواند منجر به از دست رفتن حریم شخصی کاربران شود.

Redis، یک سیستم پایگاه داده با سرعت بالا و قابلیت بالای اطمینان است که برای ذخیره داده‌های میانی در ChatGPT استفاده می‌شود. باگ مذکور، باعث شده تا اطلاعات کاربران از جمله عنوان چت، پیام‌های ارسالی، زمان ارسال پیام و حتی مشخصات فردی همچون نام کاربری و ایمیل ذخیره شده در Redis آشکار شوند.

در پی این اتفاق، OpenAI به تمام کاربران ChatGPT پیام داد و از آن‌ها خواست تا اطلاعات حساس و شخصی خود را به روز کنند و بررسی کنند که آیا به صورت غیرمجاز دسترسی به این اطلاعات داشته‌اند. همچنین، شرکت OpenAI اعلام کرد که این باگ به سرعت رفع شده و از آن پس تمامی اطلاعات کاربران برای حفظ حریم شخصی آن‌ها با استفاده از رمزنگاری امن ذخیره می‌شوند.

در کل، باگ در Redis و افشای اطلاعات در ChatGPT نشان می‌دهد که در این روزها وقتی مسائل امنیتی و حریم شخصی به چالش‌های بزرگی تبدیل شده‌اند، باید از همه تلاش خود برای جلوگیری از چنین مشکلاتی استفاده کرد. این اتفاق همچنین نشان می‌دهد که شرکت‌هایی ک

همچون OpenAI باید به شیوه‌های بهتری برای حفظ امنیت و حریم شخصی کاربران خود اقدام کنند. این شرکت باید برای جلوگیری از وقوع چنین باگ‌هایی، فرایندهای امنیتی خود را بهبود بخشد و از بهترین شیوه‌های موجود برای حفظ امنیت استفاده کند.

در عین حال، کاربران نیز باید در جهت حفظ حریم شخصی خود بیشتر دقت کنند و با دقت نسبی به اطلاعات خود در سرویس‌های آنلاین دسترسی داشته باشند. به‌علاوه، باید همواره به‌روزرسانی‌های امنیتی و نرم‌افزارهای مورد استفاده‌ی خود را اعمال کنند تا از وقوع مشکلاتی همچون افشای اطلاعات شخصی جلوگیری کنند.

در نهایت، افشای اطلاعات شخصی کاربران در ChatGPT نشان می‌دهد که امنیت و حریم شخصی باید همیشه در اولویت باشد و باید همه تلاش خود را برای جلوگیری از چنین اتفاقاتی انجام دهیم.