图片来源:**AI绘图软件生成

原来是缓存问题导致了ChatGPT的宕机。

本周早些时候，ChatGPT宕机了几个小时。

现在，OpenAI声称ChatGPT暂时离线是因为开源库中的一个错误，该错误允许一些用户在另一个活跃用户的聊天记录中看到标题。如果两个用户几乎同时在线，则新创建的对话的第一条消息也可能出现在其他人的聊天记录中。OpenAI表示这个bug已经修复。

来源:推特@ JordanLWheeler

经过进一步调查，OpenAI还发现，1.2%的ChatGPT Plus用户在特定的9小时窗口内是活跃的，这导致他们无意中看到了支付相关的信息。

具体来说，在周一OpenAI关闭ChatGPT之前的几个小时内，一些用户可能会看到另一个活跃用户的名字、姓氏、电子邮件地址、支付地址、信用* *的后四位数字和信用卡到期时间。注意，其他用户可能只能看到信用* *的后四位，OpenAI意味着完整的信用* *代码不会随时暴露。

OpenAI表明，实际暴露于数据泄漏的用户非常少，主要是因为以下两种情况:

用户打开了太平洋时间3月20日(星期一)凌晨1点至10点之间发送的订阅确认电子邮件，在此期间生成的一些订阅确认电子邮件发送给了错误的用户。这些电子邮件包含另一个用户的信用* *的最后四位数字，但完整的信用* *不会显示。在3月20日之前，可能会有少量订阅确认邮件被错误处理，尽管OpenAI尚未确认任何此类情况。太平洋时间3月20日星期一凌晨1点至10点，点击ChatGPT中的“我的帐户”，然后点击“管理我的订阅”。在此窗口中，可以看到另一个活动ChatGPT Plus用户的名字、姓氏、电子邮件地址、付款地址、信用代码的后四位数字和信用卡到期日期。这种情况也可能发生在3月20日之前，虽然OpenAI还没有确认任何这种情况。OpenAI已经联系了受影响的用户，并告知他们的支付信息可能已被泄露。

OpenAI向其用户和整个ChatGPT社区表示歉意，并将努力重建信任。

缓存问题如何导致ChatGPT漏洞？

这一切是怎么发生的？OpenAI归结为缓存。该公司使用一款名为Redis的软件来缓存用户信息，该软件可以提供高性能的数据访问功能。具体来说，错误是在redis客户端的开源库“redis-py”中发现的。

在某些情况下，被取消的Redis请求会导致为不同的请求返回损坏的数据，这是不应该发生的。通常情况下，ChatGPT会得到数据，但是会抛出一个错误，因为这不是它所需要的。

但是如果另一个人请求了同类型的数据，也就是他想加载自己的账户主页，看到别人的账户信息，ChatGPT就会认为一切正常，把数据显示给他。

这就是为什么人们会看到其他用户的支付信息和聊天记录。他们收到了缓存的数据，这些数据实际上应该给其他人，但由于请求被取消，他们无法这样做。这就是为什么它只影响活跃用户。

更糟糕的是，3月20日上午，OpenAI对其服务器进行了更改，意外导致取消的Redis请求激增，从而增加了bug返回无关缓存的概率。

对此，OpenAI表示该bug只出现在Redis的一个特殊版本中，并联系了Redis维护者。现在漏洞已经通过添加补丁修复了。此外，正在对软件和一些习惯做法进行更改，以防止类似事情再次发生，包括添加冗余检查，以确保提供的数据属于请求数据的用户，以及降低Redis集群在高负载下出错的可能性。

ChatGPT的技术漏洞也带来了一些启示。如果怀有恶意的人知道特定公司使用的软件，他们可能会引入针对该软件的漏洞。因此，公司需要不断检查他们使用的软件，最好确保不会出现漏洞，并在出现漏洞时做好准备。

参考链接:https://openai.com/blog/march-20-chatgpt-outreach https://www . the verge . com/2023/3/24/23655622/chatgpt-outreach-payment-info-exposed-Monday。

温馨提示：注：内容来源均采集于互联网，不要轻信任何，后果自负，本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权，请给我们来信，我们会及时处理和回复。