Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Онлайн-пираты массово похищают токены для доступа к языковым моделям OpenAI

09/06/23

ChatGPT-Detecting-Cheats-1_1675611202128_1675611202128_1678845380705_1678845380705

Некоторые участники Discord-сервера r/ChatGPT занимаются целенаправленной кражей ключей доступа к OpenAI API, которые позволяют использовать большие языковые модели, такие как GPT-4, полностью бесплатно, даже не создавая личный аккаунт OpenAI.

На текущий момент бесплатно на официальном сайте OpenAI можно пользоваться только GPT-3.5, а процесс регистрации аккаунта тернист и сложен. В свою очередь, GPT-4 пока что доступен только платным подписчикам нейросети, пишет Securitylab.

Пираты-энтузиасты находят ключи доступа к GPT-4 в общедоступном коде на сайте Replit, где люди совместно работают над проектами по программированию. Затем они используют похищенные ключи в своих целях, чаще всего делясь ими с другими участниками сообщества, в том числе через специальный сайт и отдельный Discord-сервер ChimeraGPT.

Чаще всего на Replit всплывают ключи не от личных аккаунтов разработчиков, а от корпоративных аккаунтов с привязанной кредитной картой и большим долговым лимитом. Таким образом «любители халявы» накапливают долги за использование GPT-4 на чужих счетах, которые могут достигать десятков тысяч долларов.

Один из пиратов под псевдонимом Discodtehe говорит, что он выполнял скрейпинг кода Replit и нашел более 1000 рабочих ключей OpenAI API. А однажды пиратам даже удалось получить доступ к аккаунту OpenAI с кредитным лимитом в 150 тысяч долларов, разумеется ключ от этого аккаунта быстро разлетелся по сообществу.

«Мой аккаунт все ещё не забанен после того, как я делал такие безумные вещи», — написал Discodtehe в Discord-сервере r/ChatGPT.

Представители Replit заявили, что проекты на их сайте по умолчанию являются публичными, но пользователи могут использовать механизм «Secrets» для хранения своих ключей API. Некоторые разработчики просто не считают нужным использовать дополнительные механизмы безопасности, чем и наказывают свои организации. Компания также сканирует проекты на предмет использования популярных API-ключей и предупреждает пользователей о случайном раскрытии токенов.

Представители OpenAI тоже прокомментировали ситуацию и заявили, что они регулярно проводят автоматические сканы больших открытых репозиториев и отзывают любые обнаруженные ключи OpenAI в открытом доступе. Компания настоятельно рекомендует пользователям не раскрывать свои API-ключи после того, как они были сгенерированы. А если ключ всё же был подвергнут компрометации, компания советует незамедлительно изменить свой ключ, благо сделать это возможно.

Один из участников сообщества ChatGPT высказал мнение, что вышеупомянутый энтузиаст Discodtehe «определенно должен остановиться». Он также выразил надежду, что OpenAI улучшит свои процедуры аутентификации для защиты пользователей.

Discodtehe, в свою очередь, назвал использование найденных ключей «просто займом» и сказал, что в конце концов OpenAI, возможно, спишет эти долги, чтобы защитить своих клиентов, поэтому никто не останется в минусе от этой ситуации, кроме представителей OpenAI, разумеется.

Темы:ИнтернетПреступленияOpen AI
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • NGFW Интернет Контроль Сервер: единое решение вместо целого стека программ
    Игорь Сухарев, директор “А-Реал Консалтинг”
    Межсетевые экраны нового поколения перестали быть просто надежной системой защиты сетевого периметра. Сегодня заказчикам важно эффективно закрывать ключевые ИТ-задачи без дополнительных расходов и инсталляций стороннего программного обеспечения

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...