OpenAI se vio obligado a desconectar su popular bot ChatGPT para el mantenimiento de emergencia el martes después de que un usuario pudo explotar un error en el sistema para recuperar los títulos de los historiales de chat de otros usuarios. El viernes, la compañía anunció sus hallazgos iniciales del incidente.
En el incidente del martes, los usuarios publicaron capturas de pantalla en Reddit que mostraban que sus barras laterales de ChatGPT presentaban historias de chat anteriores de otros usuarios. Solo se veía el título de la conversación, no el texto en sí. OpenAI, en respuesta, desconectó el bot durante casi 10 horas para investigar. Los resultados de esa investigación revelaron un problema de seguridad más profundo: el error del historial de chat también podría haber revelado datos personales del 1,2 por ciento de los suscriptores de ChatGPT Plus (un paquete de acceso mejorado de $20 al mes).
«En las horas previas a que desconectamos ChatGPT el lunes, era posible que algunos usuarios vieran el nombre y apellido, la dirección de correo electrónico, la dirección de pago, los últimos cuatro dígitos (únicamente) de un número de tarjeta de crédito y la tarjeta de crédito de otro usuario activo. fecha de vencimiento. Los números completos de las tarjetas de crédito no estuvieron expuestos en ningún momento”, escribió el equipo de OpenAI el viernes. Desde entonces, el problema se solucionó para la biblioteca defectuosa que OpenAI identificó como la biblioteca de código abierto del cliente Redis, redis-py.
La empresa ha restado importancia a la probabilidad de que ocurra tal violación, argumentando que cualquiera de los siguientes criterios tendría que cumplirse para poner a un usuario en riesgo:
– Abra un correo electrónico de confirmación de suscripción enviado el lunes 20 de marzo, entre la 1 a. m. y las 10 a. m., hora del Pacífico. Debido al error, algunos correos electrónicos de confirmación de suscripción generados durante esa ventana se enviaron a los usuarios equivocados. Estos correos electrónicos contenían los últimos cuatro dígitos del número de la tarjeta de crédito de otro usuario, pero no aparecían los números completos de la tarjeta de crédito. Es posible que una pequeña cantidad de correos electrónicos de confirmación de suscripción se hayan enviado incorrectamente antes del 20 de marzo, aunque no hemos confirmado ningún caso de esto.
– En ChatGPT, haga clic en «Mi cuenta», luego en «Administrar mi suscripción» entre la 1 a. m. y las 10 a. m., hora del Pacífico, el lunes 20 de marzo. Durante esta ventana, otra activo El nombre y apellido del usuario de ChatGPT Plus, la dirección de correo electrónico, la dirección de pago, los últimos cuatro dígitos (solo) de un número de tarjeta de crédito y la fecha de vencimiento de la tarjeta de crédito podrían haber sido visibles. Es posible que esto también haya ocurrido antes del 20 de marzo, aunque no hemos confirmado ningún caso de esto.
La compañía ha tomado medidas adicionales para evitar que esto vuelva a suceder en el futuro, incluida la adición de controles redundantes a las llamadas a la biblioteca, «examinó programáticamente nuestros registros para asegurarse de que todos los mensajes solo estén disponibles para el usuario correcto» y «registro mejorado para identificar cuándo esto está sucediendo y confirme completamente que se ha detenido». La compañía dice que también se comunicó para alertar a los usuarios afectados sobre el problema.
Esta noticia sigue a un costoso paso en falso público cometido por el rival de Google, Bard AI, en febrero, cuando aseguró incorrectamente a Twitter que el JWST fue el primer telescopio en obtener imágenes de un exoplaneta, así como a las revelaciones de que CNET había utilizado subrepticiamente la IA generativa para escribir publicaciones explicativas financieras ( una semana antes de despedir a una parte considerable de su departamento editorial). Queda por ver si OpenAI sufrirá las mismas repercusiones en el mercado que sus competidores.