chatgpt,chatgpt是什么意思,chatgpt怎么读,chatgpt怎么用

出品 | CSDN（ID：CSDNnews）

ChatGPT 的火爆，超出了很多人的想象。今年初，根据 UBS（瑞士银行巨头瑞银集团）的一份报告显示，ChatGPT 推出仅两个月后，它在 2023 年 1 月末的月活用户已经突破了 1 亿，成为史上用户数增长最快的消费者应用。

不过，就是这样一款应用，最近却被推上风口浪尖，只因不少用户发现自己竟然可以看到别人与 ChatGPT 的聊天记录。

聊天信息被看光了可还行？

这导致 OpenAI 曾一度选择紧急关闭 ChatGPT。经过几天的排查，直至近日，OpenAI 正式公开了此次事件的技术原因，其表示，是开源库 Redis 中的一个 Bug 才导致了 ChatGPT 服务暴露了其他用户的个人信息和聊天标题。

而这究竟是怎么一回事，我们将通过 OpenAI 的官方公告了解事情的真相。

事件始末

在上周，CSDN?报道过此事，彼时有一位?Reddit 用户率先发现，在与 ChatGPT?聊天记录栏中，多出了许多陌生的对话标题，这也让他产生了“ChatGPT 或我是被黑了吗？”的错觉。

没想到的是，这条帖子迅速引发了多人的关注，也有很多用户在下方留言称自己也遇到了同样的问题，一位 Twitter 用户 Jordan L Wheeler 表示：“我看不到内容，但可以看到他们最近的对话标题。”

OpenAI 在公告中对这种情况进行了解释，「如果两个用户大约同时在线活跃，那么新创建的对话的第一条消息也有可能在其他人的聊天记录中可见」。

技术细节

至于为什么会出现这种状况，OpenAI 进一步补充说，该错误是在 Redis 客户端开源库 redis-py 中发现的。以下是 Bug 的工作原理：?

• OpenAI 使用 Redis 在其服务器中缓存用户信息，因此他们不需要为每个请求检索一遍数据库。?

• 该团队使用 Redis Cluster 将此负载分布到多个 Redis 实例中。?

• OpenAI 使用 redis-py 库，从基于 Asyncio 运行的 Python 服务器与 Redis 交互。?

• 该库在服务器和集群之间维护一个共享连接池，并在完成后回收连接以用于另一个请求。

• 当使用 Asyncio 时，redis-py 的请求和响应表现为两个队列：调用者将请求推送到传入队列，然后从传出队列弹出响应，并将连接返回到池中。

• 如果在请求被推送到传入队列之后，但在响应从传出队列中弹出之前，请求被取消，OpenAI 便可以看到错误所在：连接因此被破坏，下一个为不相关的请求去排队的响应可以接收连接中留下的数据。

• 在大多数情况下，这会导致不可恢复的服务器错误，用户将不得不再次尝试他们的请求。?

• 但在某些情况下，损坏的数据恰好与请求者期望的数据类型相匹配，因此从缓存中返回的数据看起来是有效的，即使它属于另一个用户。

• 太平洋时间 3 月 20 日星期一凌晨 1 点，OpenAI 无意中对服务器进行了更改，导致 Redis 请求取消数量激增。这为每个连接返回错误数据带来了一个小概率事件。

OpenAI 表示，这个错误只出现在 Redis Cluster 的 Asyncio redis-py 客户端中，在发现的第一时间，便联系了 Redis 维护者，现已修复。

不过，OpenAI 也承认这个错误会在其他地方带来一些影响，比如可能导致 1.2% 的 ChatGPT Plus 订阅者在特定的 9 小时（太平洋时间 3 月 20 日星期一凌晨 1 点到 10 点）无意中看到了别人与支付相关的信息，包括会看到另一个活跃用户的名字和姓氏、电子邮件地址、支付地址、信用卡号的最后四位（仅）和信用卡到期时间日期。

OpenAI 称已经联系受影响的用户并通知他们的付款信息可能已被泄露。同时，该研发团队也添加了冗余检查以确保 ChatGPT 应用程序的?Redis 缓存返回的数据与请求用户匹配。

OpenAI?也修复了关键账户接管漏洞

在另一个与缓存相关的问题中，OpenAI 还解决了一个关键的帐户接管漏洞。

该漏洞最初由安全研究员 Gal Nagli 发现，它绕过了 OpenAI 在 chat.【【微信】】[.]com 上实施的保护措施，可以被利用来控制另一个用户的帐户，查看他们的聊天记录，并在他们不知情的情况下访问账单信息。

实现这一目标的方法是，首先创建一个特制的链接，将一个 .CSS 资源加载到 "chat.【【微信】】[.]com/api/auth/session/"端点上，并诱使用户点击该链接，导致包含有 【【淘密令】】 字符串的 JSON 对象的响应被缓存在 Cloudflare 的 CDN 中。

对 CSS 资源的缓存响应（其 CF-Cache-Status header 值设置为HIT）然后被攻击者滥用，以收获目标的 JSON Web Token（JWT） 凭证并接管账户。

Nagli 表示，OpenAI 在负责任的披露后两小时内就修复了该漏洞，表明了问题的严重性。

开源维护者是否要为商业公司的使用负责到底？

不过，虽然 OpenAI 在公告中一直强调，“Redis 开源维护者是出色的合作者，他们迅速解决了错误并推出了补丁。Redis 和其他开源软件在我们的研究工作中发挥着至关重要的作用。它们的重要性不可低估――如果没有 Redis，我们将无法扩展 ChatGPT。”

但是，对于 ChatGPT 具备捉?Bug 能力，却避免不了自己的?Bug，而且 Redis 承担主责这一情况，也引发了不少网友的讨论，甚至称「ChatGPT 惹的祸，终是要让开源软件来担着了」。

这也让很多人联想到了当初风靡全球的 Log4j 2 漏洞，以及?Curl?创始人Daniel Stenberg 剑指苹果的事件：

第三方公司在商业化产品中使用开源项目，从中赚得盆满钵满，而自己从未提供技术资金支持，当遇到问题时，又推回给开源开发者，一味“白嫖”只拿钱不办事，再次增加了开源开发者的负担。

对此，你认为开源维护者是否要为商业软件的安全问题负责到底？

---

CFS第十二届财经峰会7月举行，隐私计算候选品牌：洞见科技、零数科技

第十二届财富全球论坛,2020财经峰会,2020中国财经峰会,2021中国财经峰会

CFS2023第十二届财经峰会暨2023可持续商业大会定于今年7月在北京举行，主题为“激活高质量发展澎湃活力”。

作为中国经济领域最具影响力的思想盛会，CFS第十二届财经峰会将汇聚国内外颇具远见的商业领袖、经济学界翘楚、创业家及新青年代表，讲述中国故事，共享中国机遇，共促复苏增长。?

本届峰会为期两天，设有开幕式、高层论坛、致敬盛典、品牌创新展、可持续商业大会等主题活动。活动将有超过1000位商界、政界、学界、传媒以及文化艺术等领域代表出席，超过200位顶级嘉宾担任演讲嘉宾，深度参与媒体超过300家，主流媒体报道3000余篇，影响和互动人次超过2000万。

第十二届财经峰会隐私计算技术候选品牌：洞见科技、零数科技

洞见科技

洞见科技是由中国最大的信用产业集团“中诚信”孵化、网信事业国家队“中电科”投资的领先的隐私计算技术服务商，致力于以隐私计算技术赋能数据价值的安全释放和数据智能的合规应用。公司的创始团队是中国大数据征信和智能风控行业的推动者和领军人物，核心成员来自中诚信、大型银行、保险公司、大数据与人工智能企业，具备丰富的行业知识和服务经验。凭借过硬的隐私计算技术实力和专业的应用落地服务能力，洞见科技已荣获中国信通院“星河”隐私计算标杆案例、IDC区块链隐私保护创新者、CB Insights数据链路安全领航者、KPMG毕马威中国领先金融科技企业、iResearch-FinTech卓越者、隐私计算应用创新企业TOP10等多项荣誉。

主营业务

公司独立自研的洞见数智联邦平台（InsightOne）首创面向计算场景的融合引擎架构，基于“左+数据，右+场景”的模式，聚焦于为政务、金融等客户提供基于隐私计算生态底座建设及面向场景的数据智能服务。洞见科技已在政务、金融、运营商等领域落地了大量隐私计算合作案例，赋能数据要素安全开放流通，服务具体场景下的业务效果提升。

政务：隐私计算为政府数据跨部门开放共享、数据要素流通及向金融机构等社会企业提供政务数据赋能的解决方案，助力政府数据面向社会开放，促进实体经济发展，提升政务协同、运营管控及决策能力，全面构建智慧政务与智能城市大脑。

银行：为国有银行、城商行、农商行等在进行数字化转型与智能化应用过程中，安全连接金融机构内部各部门之间、金融机构与外部各类数据源或同业其他机构，在不泄露各方原始数据的前提下，实现数据安全融合、联合风控建模、联合营销筛选等，提升金融智能的准确性及完备性。

保险：以数据可用而不可见的安全方式促进保险公司/集团内部数据能力融合共享以及内外部数据智能生态共建，以更加安全合规的方式开展交叉营销、联合营销、精算定价等业务，既保护商业秘密与客户隐私，又能充分发挥数据智能在保险业务中的应用价值。

资管：为评级机构、监管机构、指数机构、公开数据源与另类数据服务机构等多方之间构建安全可信的数据协作通道，形成有效隔离防火墙，进而在更充分、更全面的数据能力支持下，开发更精准的债务指数。

零数科技

零数科技成立于2016年，是一家具备领先区块链底层技术及深度应用场景的国家高新技术企业、上海市“专精特新”企业。2021年入选首批国家区块链创新应用试点、世界人工智能大会全球区块链企业创新50强；2022年入选IDC中国baas市场份额排名前10；Forrester中国区头部区块链平台公司、中国区块链市场wave报告入围前10；毕马威中国领先金融科技50企业，工信部赛迪中国区块链百强企业第2名等，中国工信部“可信区块链推进计划”副理事长单位；上海市区块链技术协会副会长单位。

零数科技坚持核心技术自主研发，基于底层算法的深度创新，奠定了扎实领先的技术基础；在产品方面，打造了具备领先性能的区块链底层平台、标准化中间件产品及隐私计算平台，产品均通过工信部中国信通院、电子标准院权威测试；在应用落地方面，公司聚焦标准化产品，深入解决方案打磨，形成可持续商业模式创新，并已在金融、文化、政务、汽车、双碳、农业等领域拥有众多标杆案例。基于扎实的技术基础和优异的商业能力，公司在2020年便实现盈利，业务规模连续三年保持2-3倍高速增长，并获得了多轮资本融资。