OpenAI, geçen haftaki ChatGPT veri sızıntısının temelinde redis-py açık kaynak kitaplığındaki bir güvenlik açığının olduğunu doğruladı.
Bazı ChatGPT kullanıcıları yalnızca Görmek diğer kullanıcıların yapay zeka sohbet robotunu ne için kullandığı, ancak sınırlı kişisel ve fatura bilgilerinin de açığa çıktığı ortaya çıktı.
ChatGPT veri sızıntısı nasıl oldu?
ChatGPT, 20 Mart’ta bir kesinti yaşadı ve ardından konuşma geçmişini kullanıcılar için erişilebilir hale getirmede sorun yaşadı.
Ancak daha da ciddi bir sorun olduğu ortaya çıktı:
OpenAI, ChatGPT Plus abonelerinin %1,2’sini e-posta yoluyla “20 Mart 2023’teki dokuz saatlik bir pencerede, başka bir ChatGPT kullanıcısı kendi ‘Aboneliği Yönetin’ sayfasına tıkladığında fatura bilgilerinizi yanlışlıkla görmüş olabilir.”
“Başka bir kullanıcının görmüş olabileceği fatura bilgileri, adınız ve soyadınız, fatura adresiniz, kredi kartı türünüz, kredi kartı son kullanma tarihiniz ve kredi kartınızın son dört hanesinden oluşuyordu. Bilgiler tam kredi kartı numaranızı içermiyordu ve herhangi bir müşteri bilgisinin birden fazla ChatGPT kullanıcısı tarafından görüntülendiğine dair hiçbir kanıtımız yok.”
Sızan sohbet geçmişiyle ilgili olarak, iyi haber şu ki, yalnızca konuşma istemlerinin başlıklarına erişilebiliyordu.
OpenAI’nin kurduğu dahili soruşturma, Redis istemcisi açık kaynak kitaplığı redis-py’deki bir hataya işaret etti.
Şirketin açıkladığı gibi, sunucularında kullanıcı bilgilerini önbelleğe almak için Redis’i, bu yükü birden fazla Redis örneği üzerine dağıtmak için Redis Cluster’ı ve Asyncio ile çalışan Python sunucularından Redis ile arayüz oluşturmak için redis-py kitaplığını kullanıyorlar.
“Kitaplık, sunucu ile küme arasında paylaşılan bir bağlantı havuzunu korur ve bir kez yapıldıktan sonra başka bir istek için kullanılmak üzere bir bağlantıyı geri dönüştürür. Asyncio kullanırken, redis-py ile istekler ve yanıtlar iki sıra gibi davranır: arayan kişi, gelen kuyruğa bir istek gönderir ve giden kuyruktan bir yanıt alır ve ardından bağlantıyı havuza döndürür. Bir istek, gelen kuyruğa aktarıldıktan sonra, ancak giden sıradan yanıt çıkmadan önce iptal edilirse, hatamızı görürüz: bağlantı bozulur ve ilgisiz bir istek için kuyruktan çıkarılan bir sonraki yanıt geride kalan verileri alabilir bağlantıda,” not ettiler.
Ne yazık ki, o Pazartesi günü sunucularında, Redis istek iptallerinde ani bir artışa neden olan bir değişiklik yaptılar, bu nedenle birçok bağlantı kötü veriler döndürdü.
sorunu çözme
Hata o zamandan beri yamalandı ve OpenAI, istekte bulunan kullanıcıların diğer kullanıcılara ait verileri almamasını sağlamak için kontroller ekledi. Ardından, istenmeyen davranışların durdurulmasını sağlamak ve etkilenen kullanıcıları belirlemek için günlüklerini taradılar.
Son olarak, aşırı yükte bağlantı hatası olasılığını azaltmak için Redis kümelerinin sağlamlığını ve ölçeğini iyileştirdiklerini söylüyorlar – ChatGPT’nin büyük popülaritesi göz önüne alındığında akıllıca bir hareket.
AI chatbot’un lansmanından sadece iki ay sonra, Ocak 2023’te aylık 100 milyon aktif kullanıcıya ulaştığı tahmin ediliyor.
Hem tüketiciler hem de işletmeler arasında popülerdir, ancak ikincisi bunu sağlamalıdır ve OpenAI, diğer tüm uygulamalarla aynı üçüncü taraf risk yönetimi sürecinden geçer.