7月2日,开发者Pedro Vieito在Thread平台发布动态,指出macOS版的ChatGPT应用程序会以纯文本的方式存储用户对话。同时,他展示了另一个应用程序可以轻松地访问和显示这些对话。
01
OpenAI的安全漏洞
Vieito的调查结果显示,ChatGPT的应用程序没有使用macOS的沙盒保护措施,这一措施能将应用程序数据与系统的其余部分隔离开来。
因此,该应用程序的数据(包括聊天记录)以一种无需加密即可轻松访问的方式存储。OpenAI的这种疏忽意味着任何可以访问计算机的应用程序或进程都可能读取这些纯文本对话。
02
OpenAI的回应
在媒体网站The Verge就此问题联系OpenAI 后,OpenAI更新了ChatGPT应用程序,并称更新后的版本会加密聊天记录。
OpenAI的发言人Taya Christianson在The Verge的一份声明中说:“我们意识到了这个问题,并发布了一个新版本的应用程序,可以加密这些对话。”
03
安全漏洞产生的可能原因
Vieto指出,自6年前发布的macOS Mojave 10.14以来,macOS已经阻止了对任何用户私人数据的未经授权的访问。这意味着,任何应用(如“日历”、“照片”或“邮件”)都只能在具有明确用户权限的情况下访问私人用户数据。然而,OpenAI 选择退出Apple的安全控制系统,并以纯文本形式将对话存储在不受保护的位置,从而禁用所有这些内置防御措施。
此外,苹果近期宣布与OpenAI建立合作伙伴关系,允许用户在获得许可的情况下在苹果设备上访问ChatGPT软件。虽然该协议与ChatGPT发布适用于Mac的应用程序是分开的,但它也可能引起人们对OpenAI处理用户数据安全性的进一步担忧。一些网络安全专家表示,苹果软件中的ChatGPT集成可能会增加额外的攻击媒介。
来源|Cybernews
编译|张羽翔
审核|尚健
