Son zamanlarda, çalınan OpenAI API anahtarlarını r/ChatGPT alt dizini için Discord’da birçok kullanıcıyla paylaştığı için bir betikçi çocuk yasaklandı.
Geliştiriciler, API anahtarlarını kullanarak OpenAI’nin dil modeli GPT-4’ü uygulamalarına sorunsuz bir şekilde dahil edebilir.
Çoğu zaman, geliştiriciler istemeden anahtarlarını kodlarına gömülü bırakarak minimum çabayla yararlanılabilecek bir hesap hırsızlığı fırsatı yaratır.
Çalınan API anahtarlarına sahip olan kişiler, GPT-4’ü etkili bir şekilde dağıtabilir ve güvenliği ihlal edilmiş OpenAI hesabı altında kullanıcıları için ücret toplayabilir.
GPT-4 API Anahtarlarını Ücretsiz Olarak Paylaşma
Mart ayından, hatta daha öncesinden itibaren, “Discodtehe” adlı bir kullanıcı, yazılım işbirliği platformu Replit’te paylaşılan kaynak koddan ustaca API anahtarlarını çıkarıyor.
Discodtehe, 150.000 $ kullanım limitine sahip olan oldukça değerli bir OpenAI hesabına yetkisiz erişim elde etti.
r/ChimeraGPT’de kişi, GPT-4 ve GPT-3.5-turbo’ya tam ve sınırsız erişim dağıtarak, güvenliği ihlal edilmiş hesaplarda derhal kullanım ücretleri biriktiren 700’den fazla üyeden oluşan bir topluluğa yol açtı. Anakart raporu diyor.
Bilgisayar korsanının girişi nasıl elde ettiği, ücretli OpenAI kullanıcılarının dikkatle değerlendirmesi gereken önemli bir güvenlik endişesinin altını çiziyor.
Son birkaç gün içinde “Discodtehe” tarafından çalınan en az bir OpenAI API anahtarının kullanımında gözle görülür bir artış oldu.
Zaman içinde artan hesap kullanım artışını gösteren birkaç ekran görüntüsü paylaşıldı. Yakın tarihli bir ekran görüntüsü, mevcut ayın kullanımının 150.000 $’lık toplam tahsisattan 1.039,37 $ olduğunu ortaya koyuyor.
Ancak Discodtehe, savunmasız API anahtarlarını uzun süredir ayıklıyor. Discodte, jetonları kazımakla yetinmedi; bir adım daha ileri gitti.
Vice’ın bulgularına göre, Mart ayında Discodtehe, istismarlarıyla açıkça övündü ve şunları söyledi:-
“Geçenlerde repl.it’i kazıdım ve 1000’den fazla işlevsel OpenAI API anahtarı ortaya çıkardım. Dikkat çekici bir şekilde, kapsamlı bir kazıma bile yapmadım; Kabaca sonuçların yaklaşık yarısını inceledim.”
Discord ve Reddit, “Discodtehe”nin varlığının izini süremez. Ancak siber güvenlik analistleri, açıkta kalan çok sayıda API anahtarının yarattığı devam eden riskin altını çizdi.