凌晨两点,OpenAI 安全团队突然收到 Mixpanel 发来的紧急求救信号。原来,负责 platform.openai.com 前端埋点统计的第三方服务商遭遇黑客入侵,后台系统被非法突破。面对这一突发安全事件,OpenAI 立即启动应急预案,果断采取断网措施——全面下架 Mixpanel 脚本,彻底切断所有数据传输通道。经过紧急排查,官方确认 OpenAI 自家的核心系统安然无恙,ChatGPT 与普通消费者版本也未被波及。但令人担忧的是,部分「开发者平台」用户成为了此次攻击的受害者。
攻击者可能获取的信息清单包括:账户名称、绑定邮箱、大致城市级位置、访问时使用的操作系统与浏览器版本、引荐网站、用户或组织 ID 等非核心数据。OpenAI 特别强调,黑客并未窃取任何核心资产,包括聊天记录、API 请求内容、调用次数、密码、凭证、API 密钥、支付卡号、政府证件号等关键信息。用 OpenAI 的话来说,黑客只偷走了「门牌号」,却没能拿到「钥匙」和「屋内财物」。目前,OpenAI 正在全力溯源追查攻击源头,已向受影响用户发送邮件提醒,提示留意可能的钓鱼风险,并再次强调「平台本身不存在漏洞」。
这已是 OpenAI 在 2023 年 Redis 漏洞事件之后,再次因第三方服务暴露安全风险。将数据外包给外部统计平台,虽然节省了工程成本,却也无形中增加了新的攻击面。这一事件再次敲响警钟:在追求效率与成本控制的同时,企业必须高度重视第三方服务的安全监管,确保数据安全防线不被突破。
