Rubate chiavi API di OpenAI, accesso gratis a GPT-4 e non solo

Le chiavi API assegnate da OpenAI ai singoli account dovrebbero restare segrete, ma alcune sono state rubate. Ecco come è stato possibile.
Rubate chiavi API di OpenAI, accesso gratis a GPT-4 e non solo

Nel bene e nel male, ultimamente non si fa altro che parlare di intelligenza artificiale e, più precisamente, di ChatGPT. La notizia dell’ultima ora è che alcuni “pirati” hanno messo a segno un furto di una certa portata: hanno rubato le chiavi API che aprono i lucchetti di GPT-4 e di altri strumenti di proprietà di OpenAI.

Il furto delle API di OpenAI: cosa è successo

Stando alle discussioni e agli screenshot pubblicati sul server Discord del subreddit r/ChatGPT, a favorire il furto sarebbero stati addirittura i proprietari degli stessi account. In modo involontario, inserendo erroneamente le chiavi API in questione nel codice di alcuni progetti pubblicati in rete.

Un esempio? Sono state sottratte le chiavi API associate ad un account con un limite massimo d’uso pari a 150.000 dollari, e ora questo account è accessibile gratuitamente da altre persone.

OpenAI, chiavi API, account: come funziona il tutto

Chiunque voglia utilizzare i modelli di OpenAI, compreso l’ormai celebre GPT-4 alla base di ChatGPT (qui le ultime sul suo futuro), deve obbligatoriamente creare un account e associare allo stesso un metodo di pagamento, una carta di credito. A questo punto la società no profit statunitense assegna una chiave API all’account che spalanca le porte ai vari modelli. La somma addebitata sulla carta di credito varia in base al numero di token impiegati, ovvero in base all’uso.

Considerato quanto appena spiegato, OpenAI invita tutte le persone che usano i suoi modelli a non condividere le chiavi API nei codici lato client, quindi browser o applicazioni per dispositivi mobili. A quanto pare però il messaggio non è arrivato a tutti, e infatti alcuni pirati 2.0 hanno rivoltato il sito Replit (noto per la collaborazioni su progetti software) e hanno scovato proprio delle chiavi API di OpenAI.

Chi conosce Replit, è probabilmente anche a conoscenza del sistema di sicurezza chiamato Secrets, che impedisce l’esposizione pubblica delle chiavi API. La domanda dunque sorge spontanea: come è possibile che siano state rubate le chiavi API di OpenAI? Il problema è che gli incauti sviluppatori hanno inserito i token di OpenAI direttamente nel codice.

Fonte: VICE

Ti consigliamo anche

Link copiato negli appunti