OpenAI数据裸奔16天?短信漏洞酿重大泄露,内部揭秘
“AI顶流”防得住顶尖黑客的攻势,却没防住一条不起眼的“垃圾短信”。
OpenAI这次栽得有点冤。就在我们以为它拥有非常坚固的防线时,它的供应链伙伴Mixpanel却成了那个“漏风的口子”。
这一次,没有复杂的代码攻防,仅仅因为Mixpanel一名员工误触了一条钓鱼短信,一场波及OpenAI API用户的数据泄露危机便爆发了。更离谱的是,直到黑客得手16天后,OpenAI才收到通知。
虽然最新紧急澄清“核心资产安然无恙”,但那些流失的“元数据”正如同一颗颗定时炸弹,威胁着开发者的安全。面对这场“无妄之灾”,OpenAI选择了最决绝的反击。
对此,许多网友也纷纷为OpenAI辩护:“这锅,真不能怪它。”
数据裸奔:被盗的“元数据”才是真正的大杀器
很多人听到“数据泄露”第一反应是:密码丢了?银行卡信息丢了?
OpenAI安慰你:“别慌,这些核心财产都在家好好待着呢。”
但请注意,被盗走的“元数据”(Metadata),才是这次事件中最阴险的“隐藏炸弹”。
黑客成功从Mixpanel的系统导出了“敏感日志”,这些日志中包含的API客户信息,虽然“敏感度较低”,但组合起来,简直就是一份“客户画像大全”,包括:
· API账户上的姓名和关联邮箱
· 粗略的地理位置(城市、州、国家,知道你大概在哪儿)
· 操作系统和浏览器信息(知道你用什么设备访问)
· 引荐 和组织或用户ID(最致命!暴露了你是哪家公司的,从哪里来的)
互联网安全公司ESET的全球网络安全顾问杰克·摩尔(Jake Moore)就警告说,这些信息可以被组合起来,“制作具有说服力的欺诈性信息”。
想想看,一个黑客知道你叫什么、在哪、邮件地址,甚至知道你是某公司的开发者,他发给你的邮件能不逼真吗?这简直是为“高精准度网络钓鱼”量身定做的“作弊器”。
更别提,这次攻击活动是“有目标的”。加密货币平台CoinTracker和CoinLedger也跟着“躺枪”,这说明黑客早就盯上了Mixpanel的“技术客户群”。
“致命16天”的拖延与OpenAI的“绝情”切割
如果说被入侵是“天灾”(好吧,人祸),那么接下来Mixpanel的动作,就是让OpenAI忍无可忍的“致命失误”。
Mixpanel首席执行官简·泰勒(Jen Taylor)确认,黑客在11月9日就完成了对数据的“未经授权访问”,成功导出了敏感日志。
但Mixpanel直到11月25日,才正式通知OpenAI具体的数据集内容。
足足16天。这16天的时间窗口,被暴露的数据可能早已在外流传,而OpenAI的客户们却被“蒙在鼓里”,毫无防备。
这种“关键延迟”,直接导致了OpenAI的“绝情”回应。
回应是迅速且带着“惩罚性”的:OpenAI永久性地终止了与Mixpanel的业务合作关系。
OpenAI在最新声明中态度强硬:“我们同样要求我们的合作伙伴和供应商对其服务的安全性和隐私性承担最高标准的责任。”这种“零容忍”的举动,表明了AI巨头对于供应商引发的风险,容忍度正在越来越低。
APIContext公司的首席执行官马尤尔·乌帕迪亚(Mayur Upadhyaya)也一针见血地指出:“Mixpanel事件表明,即使是受信任的分析工具,如果不持续验证,也可能无意中泄露敏感数据。”
现代软件供应链的脆弱性,让单个供应商的失守,可能波及多个主要平台。
安全自救指南:赶紧查查你的API账户
虽然Mixpanel采取了“全面清理行动”,包括撤销所有活跃会话、强制刷新凭证、封锁恶意IP地址,而OpenAI果断“移除”了Mixpanel。
但作为API用户,我们不能把希望完全寄托在别人身上。
OpenAI已经向开发者们发出了最严厉的警告:被盗信息可能被用于针对你或你的组织进行网络钓鱼或社会工程学攻击。
各位API用户,请立刻执行“安全自救三连”:
· 提高警惕值MAX:谨慎对待意外收到的电子邮件或消息,尤其是带链接或附件的。
· 核对身份防冒充:仔细核查任何声称来自OpenAI的消息是否从最新OpenAI域名发送。OpenAI绝不会通过邮件、短信或聊天索取密码、 API密钥或验证码。
· 多重认证保平安:立刻启用多重认证(MFA),给你的账户套上“金钟罩”。
OpenAI在声明中重申:“信任、安全和隐私是我们产品、组织及使命的基石。”这次事件,无疑给所有依赖第三方服务的企业IT领导者敲响了警钟:第三方集成,往往是一个组织安全防线中最薄弱的一环。
结语:AI时代,没有绝对的安全屋
从ChatGPT横空出世,到AI大模型成为新的“基础设施”,我们正在快速迈入一个“机器优先”的世界。
但这次的Mixpanel事件,像一盆冷水浇醒了所有人:再强大的AI公司,也有可能因为链条上的一个脆弱环节而“翻车”。
无论是OpenAI的API用户,还是其他依赖大型云服务和第三方工具的公司,都必须认识到:在AI的星辰大海中,没有绝对的安全屋。持续的验证、最高的供应商安全要求,才是唯一的生存之道。
相关攻略
OpenAI开发者PeterSteinberger公开其团队过去30天的API使用账单,金额高达130 5万美元,消耗6030亿token和760万次请求。这笔费用支撑着一个由100个CodexAI编程代理组成的自动化系统,执行代码审查、漏洞扫描、自动修复等任务。账单显示,使用GPT-5 5模型
OpenAI与马耳他政府达成了一项开创性的国家级合作:全体公民在完成一门AI素养课程后,将获得为期一年的免费ChatGPT Plus使用权。这个人口不足55万的欧洲小国,正在将“全民普及AI”从一个口号,转变为一项可执行的政策样本。而OpenAI的野心,显然不止于多卖出几个订阅。 就在昨天,Open
【快讯】美东时间周四,OpenAI正式推出了全新人工智能模型GPT-5 5。距离上一代GPT-5 4发布尚不足两个月,这款新模型将核心能力聚焦于编程、计算机操作与复杂任务的自主执行。官方将其定位为当前更智能、也更易用的版本。 根据OpenAI的介绍,GPT-5 5的显著进步在于,它能在更少的指令引导
OpenAI两年前已开发出声音克隆技术但未公开,近期却低调收购了主营声音克隆社区平台的初创公司Weights gg。该公司团队及知识产权已全部并入OpenAI,其服务已于今年三月停止。这一边暂不推出、一边收购同类公司的矛盾举动,引发对其未来战略意图的猜测。
龙虾之父”透露单月API消耗超130万美元,处理6030亿token和760万次请求。他解释称,成本主要用于探索无token约束下的软件开发,通过运行大量Codex实例实现全流程自动化,如代码审查、问题修复和性能监控。这展示了token作为新型生产资料在提升工程效率上的潜力,关键在于将高消耗融入高效自动化流程,而非简单堆砌资。
热门专题
热门推荐
广东无人机适飞空域扩大16%至10 24万平方公里,覆盖全省57%陆地面积,滨海、郊野、工业园区及非核心城区公园等区域开放,深圳市区新增连片适飞区。飞行需通过民航局UOM平台提前申请,严禁“黑飞”,违者将受处罚。平台已升级,实现全国规则统一与分钟级空域更新,支持低空物流与巡检等应用。
杭州Costco门店因iPhone17系列手机引发抢购热潮,数百人排队致迅速断货。抢购源于官方降价与地方补贴叠加:iPhone17Pro全系直降千元,同时当地青年消费补贴可再减10%,最高省千元。双重优惠下,256GB版iPhone17Pro到手价低至7172元,较电商平台便宜近千元,吸引本地及周边消费者。目前门店仍处缺货状态,补货时间未定。
5月17日晚,长征八号运载火箭在海南商业航天发射场点火升空,成功将千帆星座第九批组网卫星送入预定轨道。此次发射是该发射场启用以来的第15次成功发射,也是今年第5次发射,体现了我国商业航天发射能力的日益成熟和常态化运营的稳步推进。
七彩虹新款iGameM15 M16Origo2026款游戏本已发售,起售价11499元。M15为15 3英寸黑色机身,配备2 5K300Hz屏,最高可选Ultra9处理器与RTX5070显卡。M16为16英寸白色款,屏幕规格相同,处理器性能更强,电池容量更大。两款均提供多种配置,享受国家补贴后价格更具竞争力,面向中高端游戏玩家与创作者。
联想在北美市场推出新款ThinkPadT14Gen7商务笔记本,支持用户自行更换LPCAMM2内存。该机型提供多款英特尔酷睿Ultra处理器选项,内存可选16GB至64GB,电池与屏幕亦有多种配置,其中顶配版搭载OLED屏幕。产品起售价为1618美元,高配版本价格超过3700美元,主要面向商用及专业办公市场,兼顾性能、可升级性与不同预算需求。