Tegnap az r/ChatGPT Discord csatorna moderátorai kitiltottak egy script kölyköt, aki szabadon osztott meg ellopott OpenAI API-kulcsokat több száz felhasználóval.
Az API-kulcsok segítségével a fejlesztők integrálhatják az OpenAI technológiáit – különösen a legújabb nyelvi modellt, a GPT-4-et – saját alkalmazásaikba. Gyakran azonban a fejlesztők elfelejteni a kulcsukat a kódjukban, így a számlalopás mindössze néhány kattintás.
Legalább március óta egy „Discodtehe” nevű felhasználó API-kulcsokat kapar ki a Replit szoftver-együttműködési platformon közzétett forráskódból. A személy ingyenes hozzáférést kapott a zsákmányhoz az r/ChimeraGPT-n, ahol egy több mint 800 tagú közösség használati díjakat kezdett felhalmozni az ellopott számlákra.
Következő Vice jelentés június 7-én, A Discodtehe már nem található a Discordon vagy a Redditen. A történetnek azonban még nincs vége – hangsúlyozzák a szakértők: több tízezer kitett API-kulcs még mindig kint van a vadonban.
„A történet lényege: ne tegyen hitelesítő adatokat a forráskódba” – mondja Chris Anley, az NCC Group vezető tudósa. "És természetesen ne tedd közzé ezt a forráskódot."
Az OpenAI kulcsok mindenhol megtalálhatók
As A ChatGPT népszerűsége robbanásszerűen megnőtt, kulcsai elkezdtek elterjedni a nyílt weben.
In The State of the Secrets Sprawl 2023 jelentésmárcius 8-án publikált, a GitGuardian több ezer nyílt OpenAI-kulcsot figyelt meg nyilvános tárolókban, ami arányosan nőtt az újonnan felfedezett ChatGPT népszerűségével.
Az írás pillanatában a GitGuardian azt mondta a Dark Readingnek, hogy csak a GitHubon több mint 50,000 XNUMX nyilvánosan kiszivárgott OpenAI-kulcs található. Ezzel az OpenAI fejlesztői fiókok a harmadik legkiszolgáltatottabbak a világon, csak a MongoDB és a Google mögött.
A sebezhetőséggel együtt a kizsákmányolás is: a kiberbűnözők azóta is gyakran kereskednek ellopott OpenAI-kulcsokkal. a szabadban a közösségi platformokon. A magánszemélyek az ellopott kulcsokat használhatják a kapcsolódó fiókok használatára, így nagy számlákat halmozhatnak fel a tulajdonosnak, és esetleg érzékeny üzleti adatok elérése az út mentén.
Ezt a piacot nem csak a fejlesztők kellő gondosságának hiánya teszi lehetővé, hanem az is, hogy bárki könnyedén megtalálhatja ezeket az információkat a nyilvános fórumokon. A Vice szerint még márciusban a Discodtehe azzal dicsekedett, hogy „a minap lekapartam a repl.it fájlt, és több mint 1000 működő openai api kulcsot találtam”, hozzátéve, hogy „nem is végeztem teljes lekaparást, csak az eredmények felét néztem meg”.
Valószínűleg nem túloztak. Egy Zoom-hívás során Dwayne McDaniel, a GitGuardian biztonsági fejlesztői ügyvédje bemutatta, milyen egyszerű is lett volna. „Néhány perce regisztráltam egy Replit-fiókra, és kevesebb mint két percbe telt, míg megtaláltam az OpenAI-kulcsokat” – mondta.
„Minden adattárkezelő rendszerben – legyen az GitHub, Replit, mi van – van egy kereső funkció. A keresési funkciók pedig csak javultak az idő múlásával. Ezért kerestem az „openapi.key”, „openai.api.key” és így tovább, és visszahozta a keresési eredményeket” – magyarázta.
Hogyan védhetik meg a fejlesztők API-titkaikat
A vállalatok nehezen kódolt titkokkal kapcsolatos problémái nem mindig ér véget az alacsony szintű hackerek és a Discord-felhasználók miatt.
Ahogy Anley elmagyarázza: „Az egyik oka annak, hogy miért olyan komoly, amikor az emberek hitelesítő adatokat írnak be a kódba, az az, hogy a technológiai ipar forgalma még a viszonylag nyugodt időkben is évi 20% körül mozog. Tehát ha az összes legérzékenyebb titka kódolva van a magánvállalati adattáraiban, az azt jelenti, hogy minden évben a fejlesztők 20%-a adminisztrátori hitelesítő adatokkal a hátsó zsebében lép ki az Ön rendszeréhez. És ez minden jogsértés nélkül történik!”
A jelenlegi és volt alkalmazottak céges nyalánkságokat árulhatnak el véletlenül, vagy rosszindulatú szándékkal.
De a titkok megőrzése nem kell, hogy nehéz legyen. Az OpenAI még azt is biztosítja egy praktikus útmutató hozzá, azt javasolja, hogy a szervezetek minden egyes felhasználóhoz egyedi kulcsokat rendeljenek, környezeti változókat használjon és egy kulcskezelési szolgáltatást, forgassa el a kulcsokat, és természetesen soha ne foglalja bele a kulcsokat a kódba.
McDaniel ugyanazokat a szempontokat visszhangozza. „Az lenne a helyes, ha a kulcsokat egy páncélszekrénybe tenné” – mondja, és „gyakran forgatná. Csináld rendszeresen – minden nap, ha nagyon érzékeny vagy, és tudod, hogy korábban célponttá vált. A harmadik féltől származó eszközök segíthetik ezt a 24 órás forgatást.”
A nap végén azt a következtetést vonja le, hogy „a valaha létező legjobb titkok azok, amelyek vagy egyszerűen nem léteznek, vagy amelyekről soha nem ismered meg magad, mert automatikusan elforgatják őket”.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- EVM Finance. Egységes felület a decentralizált pénzügyekhez. Hozzáférés itt.
- Quantum Media Group. IR/PR erősített. Hozzáférés itt.
- PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/application-security/cybercrooks-scrape-openai-keys-pirate-gpt-4
- :van
- :is
- :ahol
- $ UP
- 000
- 2023
- 50
- 7
- 8
- a
- Rólunk
- hozzáférés
- baleset
- Szerint
- Fiók
- Fiókok
- tulajdonképpen
- hozzáadásával
- adminisztratív
- szószóló
- Augusztus
- Minden termék
- lehetővé
- kizárólag
- mentén
- Is
- mindig
- és a
- évi
- bármilyen
- api
- API KULCSOK
- alkalmazások
- VANNAK
- körül
- társult
- At
- automatikusan
- vissza
- betiltották
- alap
- BE
- mert
- óta
- előtt
- kezdődött
- mögött
- BEST
- Jobb
- Bankjegyek
- megsértése
- hozott
- üzleti
- de
- by
- hívás
- TUD
- biztosan
- csatorna
- díjak
- ChatGPT
- fő
- chris
- kód
- kódolt
- együttműködés
- hogyan
- közösség
- Mag
- Társasági
- Pár
- Tanfolyam
- Hitelesítő adatok
- kiberbűnözők
- veszélyeket
- sötét
- Sötét olvasmány
- nap
- igazolták
- Fejlesztő
- fejlesztők
- szorgalom
- viszály
- megbeszélése
- do
- nem
- Don
- két
- minden
- könnyű
- könnyű
- bármelyik
- hangsúlyt helyez
- alkalmazottak
- lehetővé teszi
- végén
- környezeti
- Még
- EVER
- Minden
- minden nap
- létezik
- szakértők
- magyarázható
- Elmagyarázza
- kizsákmányolás
- kitett
- kevés
- Találjon
- A
- Korábbi
- fórumok
- talált
- Ingyenes
- ból ből
- Tele
- funkció
- funkciók
- GitHub
- Csoport
- útmutató
- hackerek
- fél
- ügyes
- Kemény
- Legyen
- he
- segít
- Hogyan
- azonban
- HTTPS
- Több száz
- i
- if
- in
- tartalmaz
- egyéni
- egyének
- ipar
- információ
- integrálni
- bele
- Hát
- IT
- ITS
- június
- éppen
- tartás
- Kulcs
- kulcsok
- Ismer
- hiány
- nyelv
- nagy
- legutolsó
- legkevésbé
- kevesebb
- hosszabb
- nézett
- KÉSZÍT
- Gyártás
- vezetés
- március
- piacára
- Anyag
- max-width
- eszközök
- Partnerek
- Perc
- modell
- MongoDB
- több
- a legtöbb
- név
- NCC csoport
- soha
- nem
- of
- gyakran
- on
- ONE
- azok
- csak
- nyitva
- OpenAI
- or
- szervezetek
- Más
- ki
- felett
- saját
- tulajdonos
- különösen
- Emberek (People)
- person
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- népszerűség
- esetleg
- magán
- valószínűleg
- Probléma
- megfelelő
- arány
- védelme
- biztosít
- nyilvános
- nyilvánosan
- közzétesz
- közzétett
- tesz
- RE
- Olvasás
- miatt
- ajánló
- szabályos
- viszonylag
- Jelentő
- raktár
- Eredmények
- felkelő
- s
- Mondott
- azonos
- azt mondja,
- Tudós
- Keresés
- biztonság
- érzékeny
- súlyos
- szolgáltatás
- megosztott
- megosztás
- aláírt
- óta
- So
- Közösség
- szoftver
- forrás
- forráskód
- Állami
- Még mindig
- lopott
- Történet
- rendszer
- Systems
- célzott
- tech
- tech ipar
- Technologies
- megmondja
- tíz
- mint
- hogy
- A
- a világ
- lopás
- azok
- akkor
- Ott.
- ők
- dolog
- Harmadik
- harmadik fél
- ezt
- ezer
- idő
- alkalommal
- nak nek
- vett
- szerszámok
- forgalom
- kettő
- egyedi
- Használat
- használ
- használó
- Felhasználók
- Boltozat
- Ve
- nagyon
- sebezhetőség
- gyalogos
- volt
- Út..
- háló
- Mit
- amikor
- ami
- WHO
- miért
- Vadon
- val vel
- nélkül
- dolgozó
- világ
- lenne
- írás
- év
- te
- A te
- magad
- zephyrnet
- gyertya