原來,是緩存問題導致了 ChatGPT 的宕機。
本周早些時候,ChatGPT 宕機數小時。
現在,OpenAI 聲明 ChatGPT 的暫時下線是因為開源庫中的一個錯誤,該錯誤讓一些用戶能夠看到另一個活躍用戶聊天記錄中的標題。如果兩個用戶大約同時在線,那麼新創建的對話的第一條消息也可能在其他人的聊天記錄中可見。OpenAI 表示現已修補這個 bug。
圖源:推特 @JordanLWheeler
經過更深入的調查,OpenAI 還發現,在特定的 9 小時窗口內,有 1.2% 的 ChatGPT Plus 訂閱者處於活躍狀態,從而導致他們可能無意中看到了與支付相關的信息。
具體來說,在周一 OpenAI 關閉 ChatGPT 之前的幾個小時內,一些用戶可能會看到另一個活躍用戶的名字、姓氏、電子郵件地址、支付地址、信用卡號的最後四位和信用卡到期時間。注意,信用卡號只有最後四位可能被其他用戶看到了,OpenAI 表示任何時候都不會暴露完整的信用卡號碼。
OpenAI 表示實際遭到數據泄露的用戶極少,主要可能是因為以下兩種情況:
- 用戶打開了太平洋時間 3 月 20 日星期一凌晨 1 點到 10 點之間發送的訂閱確認電子郵件 —— 該窗口期間生成的一些訂閱確認電子郵件被發送給了錯誤的用戶。這些電子郵件包含另一個用戶信用卡號的最後四位數字,但沒有顯示完整的信用卡號。在 3 月 20 日之前,可能有少量訂閱確認電子郵件被錯誤地處理了,儘管 OpenAI 尚未確認任何此類情況。
- 在太平洋時間 3 月 20 日星期一凌晨 1 點到 10 點之間,在 ChatGPT 中單擊「我的帳戶」,然後單擊「管理我的訂閱」,在此窗口中,另一個活躍的 ChatGPT Plus 用戶的名字、姓氏、電子郵件地址、付款地址、信用卡號碼的最後四位和信用卡到期日期可能是可見的。這種情況也是可能發生在 3 月 20 日之前,儘管 OpenAI 尚未確認任何此類情況。
OpenAI 已聯繫受影響的用戶,並通知他們的付款信息可能已被泄露。
OpenAI 表示向其用戶和整個 ChatGPT 社區致歉,並將努力重建信任。
緩存問題如何導致 ChatGPT 漏洞?
這一切是如何發生的呢?OpenAI 歸結為緩存問題。該公司使用了一款名為 Redis 的軟件緩存用戶信息,它能提供高性能的數據存取功能。具體來講,錯誤是在 Redis 客戶端開源庫「redis-py」中發現的。
在某些情況下,一個取消的 Redis 請求會導致為一個不同的請求返回損壞數據,這本是不應該發生的。通常情況下,ChatGPT 會獲取該數據,但會因為這不是它所要求的,因而會拋出錯誤。
但是如果另一個人要求相同類型的數據,即如果他想要加載自己的賬戶主頁並且看到了其他人的賬戶信息,ChatGPT 會認為一切正常並將這些數據顯示給他。
這就是人們看到其他用戶支付信息和聊天記錄的原因。他們收到了緩存數據,而這些數據實際上應該交給其他人,但由於取消請求卻未能這樣做。這也是隻影響活躍用戶的原因。
更糟糕的是,在 3 月 20 日早上,OpenAI 對其服務器進行了更改,意外導致取消的 Redis 請求激增,從而增加了返回不相關緩存的 bug 概率。
對此,OpenAI 表示,該 bug 僅出現在一個特殊的 Redis 版本中,並且聯繫了 Redis 維護者。現在通過添加一個補丁已經修復了漏洞。此外還正在對軟件及一些習慣做法進行更改,防止類似事情再次發生,包括添加冗餘檢查以確保提供的數據屬於請求它的用戶,並降低 Redis 集群在高負載下出現錯誤的可能性。
ChatGPT 出現的技術漏洞也帶來了一些啟示。如果有不懷好意的人知道了特定公司使用的軟件,他們可能會以該軟件為目標引入漏洞。因此,公司需要經常檢查它們使用的軟件,最好確保漏洞不會發生,並在發生時做好應對準備。
參考鏈接:
https://openai.com/blog/march-20-chatgpt-outage
https://www.theverge.com/2023/3/24/23655622/chatgpt-outage-payment-info-exposed-monday
本文鏈接:https://www.8btc.com/article/6810882
轉載請註明文章出處