Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Lar
Jun 08, 2023
As pessoas estão pirateando o GPT
As pessoas no Discord do subreddit r/ChatGPT estão anunciando OpenAI roubado
As pessoas no Discord para o subreddit r/ChatGPT estão anunciando tokens de API OpenAI roubados que foram extraídos do código de outras pessoas, de acordo com registros de bate-papo, capturas de tela e entrevistas. As pessoas que usam as chaves de API roubadas podem implementar o GPT-4 enquanto acumulam cobranças de uso para a conta OpenAI roubada.
Em um caso, alguém roubou o acesso a uma valiosa conta OpenAI com um limite máximo de uso de $ 150.000 e agora está oferecendo esse acesso gratuitamente a outros membros, inclusive por meio de um site e um segundo servidor Discord dedicado. Esse servidor tem mais de 500 membros.
As pessoas que desejam usar os modelos de linguagem grande do OpenAI, como o GPT-4, precisam criar uma conta na empresa e associar um cartão de crédito à conta. O OpenAI fornece a eles uma chave de API exclusiva que permite acessar as ferramentas do OpenAI. Por exemplo, um desenvolvedor de aplicativo pode usar código para implementar ChatGPT ou outros modelos de linguagem em seu aplicativo. A chave API dá a eles acesso a essas ferramentas, e a OpenAI cobra uma taxa com base no uso: "Lembre-se de que sua chave API é um segredo! Não a compartilhe com outras pessoas nem a exponha em nenhum código do lado do cliente (navegadores, aplicativos). "A OpenAI alerta os usuários. Se a chave for roubada ou exposta, qualquer pessoa pode começar a acumular cobranças na conta dessa pessoa.
O método pelo qual o pirata obteve acesso destaca uma consideração de segurança que os usuários pagantes do OpenAI precisam considerar. A pessoa diz que raspou um site que permite que as pessoas colaborem em projetos de codificação, de acordo com as capturas de tela. Em muitos casos, parece provável que os autores do código hospedado no site, chamado Replit, não tenham percebido que incluíram suas chaves de API OpenAI em seu código acessível publicamente, expondo-os a terceiros.
"Minha conta [conta] ainda não foi banida depois de fazer coisas malucas como essa", escreveu o pirata, que atende pelo apelido de Discodtehe, no servidor Discord r/ChatGPT na quarta-feira.
Você sabe mais alguma coisa sobre como as pessoas estão usando IA de forma maliciosa? Nós adoraríamos ouvir de você. Usando um telefone ou computador não comercial, você pode entrar em contato com Joseph Cox com segurança no Signal em +44 20 8133 5190, Wickr em josephcox ou e-mail [email protected].
Nos últimos dias, o uso pelo Discodtehe de pelo menos uma chave de API OpenAI roubada parece ter aumentado. Eles compartilharam várias capturas de tela do uso da conta aumentando com o tempo. Uma captura de tela recente mostra o uso neste mês de $ 1.039,37 de $ 150.000.
"Se tivermos pessoas suficientes, eles podem não banir todos nós", escreveu Discodtehe na quarta-feira.
Discodtehe parece ter raspado chaves de API expostas por mais tempo, no entanto. Em uma mensagem do Discord de março, eles escreveram "outro dia, raspei o repl.it e encontrei mais de 1.000 chaves openai de API funcionando".
"Eu nem fiz uma raspagem completa, só olhei cerca de metade dos resultados", acrescentaram.
Replit é uma ferramenta online para escrever código de forma colaborativa. Os usuários podem fazer projetos, o que a Replit chama de "Repls", que são públicos por padrão, disse Cecilia Ziniti, consultora geral e chefe de desenvolvimento de negócios da Replit, ao Motherboard por e-mail. A Replit oferece um mecanismo para lidar com chaves de API chamadas Secrets, acrescentou Ziniti.
"Algumas pessoas acidentalmente codificam tokens no código de seu Repl, em vez de armazená-los em Segredos. Em última análise, os usuários são responsáveis por proteger seus próprios tokens e não devem armazená-los em código público", disse Ziniti.
Ziniti disse que a empresa verifica os projetos em busca de tipos populares de chaves de API, como as do Github. Depois de ser alertado sobre esse novo problema de chave de API pela placa-mãe, Ziniti disse: "No futuro, a Replit revisará nosso sistema de verificação de tokens para garantir que os usuários sejam avisados sobre a exposição acidental de tokens ChatGPT".
"Se tivermos pessoas suficientes, eles podem não banir todos nós."
Um membro da comunidade ChatGPT disse ao Motherboard que o Discodtehe "definitivamente deveria parar".
"Esta é uma indústria em constante crescimento e é claro que haverá crimes nela mais cedo ou mais tarde, mas estou chocado com a rapidez com que se tornou um problema. O roubo de contas corporativas é ruim com certeza, mas estou pessoalmente mais preocupados com a maneira como esses caras estão dispostos a roubar pessoas comuns que postaram suas chaves por engano", acrescentaram. O Motherboard garantiu o anonimato da pessoa para que ela não sofresse retaliação de outros membros da comunidade.