OpenAI近日披露了一起由第三方服务商Mixpanel安全漏洞引发的数据泄露事件,涉及部分API用户的个人信息。该事件发生于11月8日,但OpenAI直至11月25日才收到完整通知。目前确认泄露的数据包括用户姓名、关联邮箱、大致地理位置(基于IP地址)、操作系统及浏览器信息等元数据,但聊天记录、API请求内容、支付信息等核心敏感数据未受影响。
Mixpanel作为OpenAI的前端数据分析服务商,其系统遭黑客通过SMS钓鱼攻击入侵。攻击者获取了包含OpenAI开发者交互数据的日志,这些信息可能被用于精准钓鱼攻击。OpenAI已终止与Mixpanel的合作,并启动对供应链安全标准的全面审查。公司强调,ChatGPT及其他产品的终端用户未受此次事件波及。
值得注意的是,此次事件暴露了AI生态中第三方服务的潜在风险。API测试提供商APIContext指出,该案例凸显了持续监控所有API及第三方集成的必要性。网络安全专家警告,泄露的元数据虽不直接包含密码或财务信息,但组合后可能成为社会工程攻击的工具。
OpenAI表示已通知受影响用户,并建议警惕可疑通信。公司同时宣布将强化供应商准入机制,但未透露受影响的用户规模。Mixpanel方面称已重置员工密码并封锁攻击者IP,其客户还包括多家头部科技企业。
此次事件是OpenAI近三个月来第二次公开披露的安全问题。此前11月初,Tenable曾报告ChatGPT存在零点击攻击漏洞,可能通过恶意提示注入窃取数据。两起事件均表明,随着AI服务复杂度提升,安全防护需覆盖从核心系统到边缘服务的全链条。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
