Kemarin, moderator saluran r/ChatGPT Discord melarang script kiddie yang secara bebas berbagi kunci OpenAI API yang dicuri dengan ratusan pengguna lainnya.
Kunci API memungkinkan pengembang untuk mengintegrasikan teknologi OpenAI โ terutama model bahasa terbarunya, GPT-4 โ ke dalam aplikasi mereka sendiri. Seringkali, bagaimanapun, pengembang lupa kunci mereka dalam kode mereka, membuat pencurian akun hanya dengan beberapa klik.
Setidaknya sejak bulan Maret, seorang pengguna dengan nama "Discodtehe" telah menggores kunci API dari kode sumber yang dipublikasikan ke platform kolaborasi perangkat lunak Replit. Orang tersebut membagikan akses gratis ke barang rampasan di r/ChimeraGPT, di mana komunitas yang terdiri dari lebih dari 800 anggota mulai mengenakan biaya penggunaan ke akun yang dicuri.
Berikut Wakil melaporkan pada 7 Juni, Discodtehe tidak lagi dapat ditemukan di Discord atau Reddit. Tapi ceritanya belum berakhir, para ahli menekankan: Puluhan ribu kunci API yang terbuka masih berada di alam bebas.
โInti ceritanya adalah: Jangan memasukkan kredensial ke dalam kode sumber Anda,โ kata Chris Anley, ilmuwan kepala di NCC Group. "Dan tentu saja jangan mempublikasikan kode sumber itu."
Kunci OpenAI Ada Di Mana Saja
As ChatGPT meledak popularitasnya, kuncinya mulai berkembang biak di Web terbuka.
In Laporan State of the Secrets Sprawl 2023, diterbitkan 8 Maret, GitGuardian mengamati ribuan kunci OpenAI yang terbuka di repositori publik, meningkat sebanding dengan popularitas baru yang ditemukan ChatGPT.
Saat tulisan ini dibuat, GitGuardian memberi tahu Dark Reading bahwa ada lebih dari 50,000 kunci OpenAI yang bocor ke publik hanya di GitHub. Itu membuat akun pengembang OpenAI menjadi yang ketiga paling terekspos di dunia, hanya di belakang MongoDB dan Google.
Dengan kerentanan telah datang eksploitasi: penjahat dunia maya telah sering memperdagangkan kunci OpenAI yang dicuri sejak saat itu di tempat terbuka di platform sosial. Individu dapat menggunakan kunci yang dicuri untuk menggunakan akun terkait, menghasilkan tagihan besar untuk pemilik dan mungkin mengakses data bisnis yang sensitif sepanjang jalan.
Apa yang memungkinkan pasar ini bukan hanya kurangnya uji tuntas pengembang, tetapi juga kemudahan bagi siapa pun untuk menemukan informasi ini di forum publik. Kembali pada bulan Maret, menurut Vice, Discodtehe menyombongkan diri bagaimana โkemarin saya menggores repl.it dan menemukan lebih dari 1000 kunci openai api yang berfungsi,โ menambahkan bahwa, โSaya bahkan tidak melakukan pengikisan penuh, saya hanya melihat sekitar setengah dari hasilnya.โ
Mereka mungkin tidak melebih-lebihkan. Pada panggilan Zoom, Dwayne McDaniel, advokat pengembang keamanan di GitGuardian, mendemonstrasikan betapa mudahnya hal itu. โSaya mendaftar akun Replit beberapa menit yang lalu, dan butuh waktu kurang dari dua menit untuk menemukan kunci OpenAI,โ katanya.
โDalam sistem manajemen repositori apa pun โ baik itu GitHub, Replit, apa saja โ ada fungsi pencarian. Dan fungsi pencarian menjadi lebih baik dari waktu ke waktu. Jadi saya cari 'openapi.key', 'openai.api.key', dan seterusnya, dan hasilnya muncul kembali,โ jelasnya.
Bagaimana Pengembang Dapat Melindungi Rahasia API Mereka
Masalah perusahaan dengan rahasia hard-coded tidak selalu berakhir dengan peretas tingkat rendah dan pengguna Discord.
Seperti yang dijelaskan Anley: โSalah satu alasan mengapa begitu serius ketika orang memasukkan kredensial dalam kode adalah bahwa bahkan dalam waktu yang relatif tenang, omset industri teknologi mencapai sekitar 20% per tahun. Jadi, jika semua rahasia Anda yang paling sensitif dikodekan dengan keras di repositori perusahaan pribadi Anda, itu berarti, setiap tahun, 20% pengembang Anda keluar dengan kredensial administratif ke sistem Anda di saku belakang mereka. Dan itu tanpa ada pelanggaran yang terjadi!โ
Karyawan saat ini dan mantan dapat membocorkan barang perusahaan kebetulan, atau dengan niat jahat.
Tetapi menjaga rahasia tidak harus sulit. OpenAI bahkan menyediakan panduan praktis untuk itu, merekomendasikan agar organisasi menetapkan kunci unik untuk setiap pengguna individu, menggunakan variabel lingkungan dan layanan manajemen kunci, merotasi kunci, dan, tentu saja, tidak pernah menyertakan kunci dalam kode.
McDaniel menggemakan semua poin yang sama. โHal yang tepat adalah meletakkan kunci Anda di lemari besi,โ katanya, dan โsering memutar. Lakukan secara teratur โ setiap hari, jika Anda sangat sensitif, dan Anda tahu bahwa Anda pernah menjadi sasaran sebelumnya. Alat pihak ketiga dapat membantu rotasi 24 jam itu.โ
Pada akhirnya, dia menyimpulkan, "rahasia terbaik yang pernah Anda miliki adalah rahasia yang entah tidak ada, atau bahwa Anda tidak pernah benar-benar mengenal diri sendiri karena itu diputar secara otomatis."
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Keuangan EVM. Antarmuka Terpadu untuk Keuangan Terdesentralisasi. Akses Di Sini.
- Grup Media Kuantum. IR/PR Diperkuat. Akses Di Sini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.darkreading.com/application-security/cybercrooks-scrape-openai-keys-pirate-gpt-4
- :memiliki
- :adalah
- :Di mana
- $NAIK
- 000
- 2023
- 50
- 7
- 8
- a
- Tentang Kami
- mengakses
- kecelakaan
- Menurut
- Akun
- Akun
- sebenarnya
- menambahkan
- administratif
- pengacara
- silam
- Semua
- mengizinkan
- sendirian
- sepanjang
- juga
- selalu
- dan
- tahun
- Apa pun
- api
- KUNCI API
- aplikasi
- ADALAH
- sekitar
- terkait
- At
- secara otomatis
- kembali
- dilarang
- dasar
- BE
- karena
- menjadi
- sebelum
- mulai
- di belakang
- TERBAIK
- Lebih baik
- Uang kertas
- pelanggaran
- Terbawa
- bisnis
- tapi
- by
- panggilan
- CAN
- Pasti
- Saluran
- beban
- ChatGPT
- kepala
- chris
- kode
- berkode
- kolaborasi
- bagaimana
- masyarakat
- Core
- Timeline
- sepasang
- Kelas
- Surat kepercayaan
- penjahat cyber
- bahaya
- gelap
- Bacaan gelap
- hari
- menunjukkan
- Pengembang
- pengembang
- ketekunan
- perselisihan
- mendiskusikan
- do
- doesn
- don
- dua
- setiap
- memudahkan
- Mudah
- antara
- menekankan
- karyawan
- memungkinkan
- akhir
- lingkungan
- Bahkan
- pERNAH
- Setiap
- setiap hari
- ada
- ahli
- menjelaskan
- Menjelaskan
- eksploitasi
- terkena
- beberapa
- Menemukan
- Untuk
- Bekas
- forum
- ditemukan
- Gratis
- dari
- penuh
- fungsi
- fungsi
- GitHub
- Kelompok
- membimbing
- hacker
- Setengah
- berguna
- Sulit
- Memiliki
- he
- membantu
- Seterpercayaapakah Olymp Trade? Kesimpulan
- Namun
- HTTPS
- Ratusan
- i
- if
- in
- memasukkan
- sendiri-sendiri
- individu
- industri
- informasi
- mengintegrasikan
- ke
- adalah n
- IT
- NYA
- Juni
- hanya
- pemeliharaan
- kunci
- kunci-kunci
- Tahu
- Kekurangan
- bahasa
- besar
- Terbaru
- paling sedikit
- kurang
- lagi
- tampak
- MEMBUAT
- Membuat
- pengelolaan
- March
- Pasar
- hal
- max-width
- cara
- Anggota
- menit
- model
- MongoDB
- lebih
- paling
- nama
- Grup NCC
- tak pernah
- tidak
- of
- sering
- on
- ONE
- yang
- hanya
- Buka
- OpenAI
- or
- organisasi
- Lainnya
- di luar
- lebih
- sendiri
- pemilik
- khususnya
- Konsultan Ahli
- orang
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- poin
- kepopuleran
- mungkin
- swasta
- mungkin
- Masalah
- tepat
- proporsi
- melindungi
- menyediakan
- publik
- di depan umum
- menerbitkan
- diterbitkan
- menempatkan
- RE
- Bacaan
- alasan
- merekomendasikan
- reguler
- relatif
- Pelaporan
- gudang
- Hasil
- kenaikan
- s
- Tersebut
- sama
- mengatakan
- ilmuwan
- Pencarian
- keamanan
- peka
- serius
- layanan
- berbagi
- berbagi
- tertanda
- sejak
- So
- Sosial
- Perangkat lunak
- sumber
- kode sumber
- Negara
- Masih
- dicuri
- Cerita
- sistem
- sistem
- ditargetkan
- tech
- industri teknologi
- Teknologi
- mengatakan
- memiliki
- dari
- bahwa
- Grafik
- Dunia
- pencurian
- mereka
- kemudian
- Sana.
- mereka
- hal
- Ketiga
- pihak ketiga
- ini
- ribuan
- waktu
- kali
- untuk
- mengambil
- alat
- pergantian
- dua
- unik
- penggunaan
- menggunakan
- Pengguna
- Pengguna
- Kubah
- Ve
- sangat
- kerentanan
- berjalan
- adalah
- Cara..
- jaringan
- Apa
- ketika
- yang
- SIAPA
- mengapa
- Liar
- dengan
- tanpa
- kerja
- dunia
- akan
- penulisan
- tahun
- Kamu
- Anda
- diri
- zephyrnet.dll
- zoom