游乐游手机版
首页/业界动态/文章详情

OpenAI数据裸奔16天?短信漏洞酿重大泄露,内部揭秘

时间:2025-12-02 20:18
“AI顶流”防得住顶尖黑客的攻势,却没防住一条不起眼的“垃圾短信”。OpenAI这次栽得有点冤。就在我们以为它拥有非常坚固的防线时,它的供应链伙伴Mixpanel却成了那个“漏风的口子”。这一次,没

“AI顶流”防得住顶尖黑客的攻势,却没防住一条不起眼的“垃圾短信”。

\

OpenAI这次栽得有点冤。就在我们以为它拥有非常坚固的防线时,它的供应链伙伴Mixpanel却成了那个“漏风的口子”。

这一次,没有复杂的代码攻防,仅仅因为Mixpanel一名员工误触了一条钓鱼短信,一场波及OpenAI API用户的数据泄露危机便爆发了。更离谱的是,直到黑客得手16天后,OpenAI才收到通知。

虽然最新紧急澄清“核心资产安然无恙”,但那些流失的“元数据”正如同一颗颗定时炸弹,威胁着开发者的安全。面对这场“无妄之灾”,OpenAI选择了最决绝的反击。

对此,许多网友也纷纷为OpenAI辩护:“这锅,真不能怪它。”

\


数据裸奔:被盗的“元数据”才是真正的大杀器

很多人听到“数据泄露”第一反应是:密码丢了?银行卡信息丢了?

OpenAI安慰你:“别慌,这些核心财产都在家好好待着呢。”

但请注意,被盗走的“元数据”(Metadata),才是这次事件中最阴险的“隐藏炸弹”。

黑客成功从Mixpanel的系统导出了“敏感日志”,这些日志中包含的API客户信息,虽然“敏感度较低”,但组合起来,简直就是一份“客户画像大全”,包括:

· API账户上的姓名和关联邮箱

· 粗略的地理位置(城市、州、国家,知道你大概在哪儿)

· 操作系统和浏览器信息(知道你用什么设备访问)

· 引荐 和组织或用户ID(最致命!暴露了你是哪家公司的,从哪里来的)

互联网安全公司ESET的全球网络安全顾问杰克·摩尔(Jake Moore)就警告说,这些信息可以被组合起来,“制作具有说服力的欺诈性信息”。

想想看,一个黑客知道你叫什么、在哪、邮件地址,甚至知道你是某公司的开发者,他发给你的邮件能不逼真吗?这简直是为“高精准度网络钓鱼”量身定做的“作弊器”。

更别提,这次攻击活动是“有目标的”。加密货币平台CoinTracker和CoinLedger也跟着“躺枪”,这说明黑客早就盯上了Mixpanel的“技术客户群”。

“致命16天”的拖延与OpenAI的“绝情”切割

如果说被入侵是“天灾”(好吧,人祸),那么接下来Mixpanel的动作,就是让OpenAI忍无可忍的“致命失误”。

Mixpanel首席执行官简·泰勒(Jen Taylor)确认,黑客在11月9日就完成了对数据的“未经授权访问”,成功导出了敏感日志。

但Mixpanel直到11月25日,才正式通知OpenAI具体的数据集内容。

足足16天。这16天的时间窗口,被暴露的数据可能早已在外流传,而OpenAI的客户们却被“蒙在鼓里”,毫无防备。

这种“关键延迟”,直接导致了OpenAI的“绝情”回应。

回应是迅速且带着“惩罚性”的:OpenAI永久性地终止了与Mixpanel的业务合作关系。

OpenAI在最新声明中态度强硬:“我们同样要求我们的合作伙伴和供应商对其服务的安全性和隐私性承担最高标准的责任。”这种“零容忍”的举动,表明了AI巨头对于供应商引发的风险,容忍度正在越来越低。

APIContext公司的首席执行官马尤尔·乌帕迪亚(Mayur Upadhyaya)也一针见血地指出:“Mixpanel事件表明,即使是受信任的分析工具,如果不持续验证,也可能无意中泄露敏感数据。”

现代软件供应链的脆弱性,让单个供应商的失守,可能波及多个主要平台。

安全自救指南:赶紧查查你的API账户

虽然Mixpanel采取了“全面清理行动”,包括撤销所有活跃会话、强制刷新凭证、封锁恶意IP地址,而OpenAI果断“移除”了Mixpanel。

但作为API用户,我们不能把希望完全寄托在别人身上。

OpenAI已经向开发者们发出了最严厉的警告:被盗信息可能被用于针对你或你的组织进行网络钓鱼或社会工程学攻击。

各位API用户,请立刻执行“安全自救三连”:

· 提高警惕值MAX:谨慎对待意外收到的电子邮件或消息,尤其是带链接或附件的。

· 核对身份防冒充:仔细核查任何声称来自OpenAI的消息是否从最新OpenAI域名发送。OpenAI绝不会通过邮件、短信或聊天索取密码、 API密钥或验证码。

· 多重认证保平安:立刻启用多重认证(MFA),给你的账户套上“金钟罩”。

OpenAI在声明中重申:“信任、安全和隐私是我们产品、组织及使命的基石。”这次事件,无疑给所有依赖第三方服务的企业IT领导者敲响了警钟:第三方集成,往往是一个组织安全防线中最薄弱的一环。

结语:AI时代,没有绝对的安全屋

从ChatGPT横空出世,到AI大模型成为新的“基础设施”,我们正在快速迈入一个“机器优先”的世界。

但这次的Mixpanel事件,像一盆冷水浇醒了所有人:再强大的AI公司,也有可能因为链条上的一个脆弱环节而“翻车”。

无论是OpenAI的API用户,还是其他依赖大型云服务和第三方工具的公司,都必须认识到:在AI的星辰大海中,没有绝对的安全屋。持续的验证、最高的供应商安全要求,才是唯一的生存之道。

来源:https://www.163.com/tech/article/KFEGA5VN00097U7T.html
上一篇马斯克急推超级计划:自研2000亿颗芯片破解供应困局 下一篇谷歌隐忍三年终爆发:市值月增万亿的OpenAI突围战
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
中关村论坛年会AI未来论坛聚焦跃迁投资共生
业界动态 · 2026-06-30

中关村论坛年会AI未来论坛聚焦跃迁投资共生

3月30日,中关村国际创新中心成为人工智能领域瞩目的焦点——2026中关村论坛年会人工智能主题日的重要活动“AI未来论坛:跃迁·投资·共生”在此正式拉开帷幕。本次论坛传递出一个清晰的信号:人工智能正从技术突破迈向产业落地的关键阶段,而资本信心的背后,映射出产业演进的明确风向。海淀区明确表态,将以开放

泰国CP AXTRA与菜鸟合作复制中国闪购模式
业界动态 · 2026-06-30

泰国CP AXTRA与菜鸟合作复制中国闪购模式

3月27日,菜鸟集团与泰国正大集团旗下核心零售企业CP AXTRA正式签署战略合作协议。此次合作的核心目标十分明确:菜鸟将充分发挥自身在数字供应链技术、仓储自动化领域的技术优势,以及多年深耕海外仓的运营经验,全力支持CP AXTRA在泰国及东盟国家打造一套线上线下一体化的即时零售物流网络。 CP A

云英谷科技VTDR6135参评SID中国区显示行业奖
业界动态 · 2026-06-30

云英谷科技VTDR6135参评SID中国区显示行业奖

云英谷科技携国内首颗支持1 5KRealRGB显示的AMOLED驱动芯片VTDR6135参评SID中国区显示行业奖。该芯片已量产并用于高端手机,采用28nm制程,支持240Hz刷新率,集成自研APDBI技术与烧屏补偿机制。在ICDT2026大会C06展位展示。

马斯克警告柏林工厂扩张受外部干预需保自主
业界动态 · 2026-06-30

马斯克警告柏林工厂扩张受外部干预需保自主

3月1日消息,特斯拉CEO埃隆·马斯克向柏林工厂的员工传递了一个信号:如果工厂无法在“不受外界干扰”的环境下自主运转,那么后续的扩建计划可能需要延后。这番话源自一段提前录制的视频,由马斯克在得克萨斯州奥斯汀与格伦海德工厂厂长安德烈·蒂里格共同完成录制,随后在柏林超级工厂内部播放给员工观看。 这段视频

高通钱堃博鳌谈构建用户中心智能生态
业界动态 · 2026-06-30

高通钱堃博鳌谈构建用户中心智能生态

高通钱堃指出,AI正重塑人机交互,2026年称为智能体之年。6G被设计为AI原生系统,2026年为标准化关键年,高通已与近60家伙伴达成共识。高通构建以用户为中心的智能生态系统,通过端-边-云协同架构,结合5G 6G技术,并推出AI加速计划,推动个人、物理、工业AI规模化应用。