不知不觉中，数据已连续记录16天。 OpenAI是否被“猪队友”欺骗，仅通过短信就泄露了秘密？

“最好的人工智能”可以防御主要黑客的攻击，但它无法防御谨慎的“垃圾短信”。

这一次，OpenAI 受到了不公平的对待。正当你以为自己拥有非常坚固的防线时，你的供应链合作伙伴 Mixpanel 却成了“漏洞”。
这次没有复杂的代码攻击或防御。影响 OpenAI API 用户的数据泄露危机的发生，仅仅是因为 Mixpanel 员工意外接触到钓鱼短信。更可耻的是，直到黑客得手16天后，OpenAI才得到通知。
官方紧急澄清，“核心资产是安全的”，但缺失的“元数据”就像一颗定时炸弹，威胁着开发者的安全。面对这场“不可预见的灾难”，OpenAI选择了更加果断的反击。
对此，不少网友也为OpenAI辩护，称“这件事我们确实不能怪罪OpenAI”。

数据抓取：被盗的“元数据”才是真正的杀手
当米任何人听到“数据泄露”这个词，他们的第一反应都是：丢失密码？银行卡信息丢失？
OpenAI 向您保证：“不要惊慌。这些关键资产就在家里。”
然而，请记住，被盗的“元数据”是这种情况下最阴险的“重磅炸弹”。
黑客能够从 Mixpanel 的系统中导出“敏感日志”。这些日志中包含的API客户端信息是“非机密”的，但综合起来，它只是一个“客户端画像”：
· API 帐户名和关联的电子邮件地址
· 一般地理位置（城市、州、国家、大致当前位置）
· 操作系统信息活动和浏览器（知道您用来访问的设备）
· 扫描网站、组织和用户 ID（最危险；暴露您来自哪家公司以及您来自哪里）
互联网安全公司 SET 的全球网络安全顾问 E.Jake Moore 警告称，这些信息可能会被组合起来“创造出令人信服的欺骗性信息”。
想一个关于它。黑客知道您的姓名、位置、电子邮件地址，甚至知道您是特定公司的开发人员。他给你发的邮件是不是不切实际？简直就是一个专为“高精度钓鱼”而设计的“陷阱装置”。
不用说，这次攻击是“有针对性的”。加密货币平台CoinTracker和CoinLedger也做了同样的事情，表明黑客早已瞄准了Mixpanel的“技术客户群”。
《致命十六日》的拖延症和 OpenAI 的“残酷”
如果说这次入侵是一场“天灾”（好吧，是一场人祸），那么 Mixpanel 的下一步行动就是一个让 OpenAI 难以忍受的“致命错误”。
Mixpanel首席执行官Jen Taylor证实，黑客于11月9日完成了攻击，对敏感数据和记录的“未经授权的访问”被成功导出。
不过，直到11月25日，Mixpanel才正式通知OpenAI该数据集的具体内容。
一共16天。在这 16 天里，暴露的数据可能已经发生了变化。已经开始流通，但 OpenAI 的客户却“蒙在鼓里”，毫无准备。
这种“明显的延迟”直接导致了OpenAI的“冷漠”反应。
反应迅速且具有惩罚性。 OpenAI 已明确终止与 Mixpanel 的商业关系。
OpenAI 在一份官方声明中表示：“我们还要求我们的合作伙伴和供应商遵守更高的服务安全和隐私标准。”这种“零容忍”措施表明，人工智能巨头对其供应商带来的风险的容忍度越来越低。
APIContext 首席执行官 Mayur Upadhyaya 还指出，“Mixpanel 事件表明，即使是值得信赖的分析工具，如果不进行持续验证，也可能会无意中泄露敏感数据。”
现代软件供应链很脆弱，因此单个供应商的失败可能会影响多个主要平台。
安全自救指南：立即验证您的API账户
Mixpanel 采取了“全面清理措施”，包括撤销所有活动e 会话、强制凭证更新并阻止恶意 IP 地址，但 OpenAI 彻底“删除”了 Mixpanel。
但作为 API 用户，我们不能等待别人的一切。
OpenAI向开发者发出严厉警告。被盗信息可用于针对您或您的组织的网络钓鱼和社会工程攻击。
API用户请立即按照安全自救3步操作。
· 最大限度地提高警惕：警惕意外收到的电子邮件和消息，尤其是那些包含链接或附件的电子邮件和消息。
· 身份验证和反钓鱼：仔细检查声称来自OpenAI的消息是否来自OpenAI官方域名。 OpenAI 永远不会通过电子邮件、短信或聊天询问您的密码、API 密钥或验证码。
· 多重身份验证确保安全：立即激活多重身份验证 (MFA)，为您的帐户赢得“金钟”。
OpenAI 在声明中重申“信任、安全和隐私很有趣”“这一事件应该为任何依赖第三方服务的公司的 IT 领导者敲响警钟。第三方集成通常是组织安全防线中最薄弱的环节。
结论：AI时代没有绝对安全的地方
从ChatGPT的到来，到将成为新“基础设施”的大型AI模型，我们正在快速迈向一个“机器优先”的世界正在进入。
但这次混板事件却像一盆冷水，给大家敲醒了。即使是最强大的人工智能公司也可能因为链条上的薄弱环节而“翻船”。
无论您是 OpenAI API 用户，还是其他依赖大规模云服务或第三方工具的企业，您都需要意识到世界上没有绝对安全的地方。AI 明星钉钉。对供应商的持续验证和最高安全要求是生存的唯一途径。