凌晨兩點,OpenAI 安全團隊收到 Mixpanel 的求救信號:負責 platform.openai.com 前端埋點統計的第三方服務商被黑客摸進後臺。OpenAI 立刻拔網線——全站下架 Mixpanel 腳本,切斷一切數據通道。官方確認,自家核心系統無恙,ChatGPT 與普通消費者版本未受波及,但「開發者平臺」一側的部分用戶已遭池魚之殃。

image.png

攻擊者可能到手的清單:賬戶名稱、綁定郵箱、大致城市級位置、訪問時用的操作系統與瀏覽器版本、引薦網站、用戶或組織 ID。OpenAI 強調,聊天記錄、API 請求內容、調用次數、密碼、憑證、API 密鑰、支付卡號、政府證件號等核心資產「零泄露」。換句話說,黑客只偷走「門牌」,沒拿到「鑰匙」和「屋裏東西」。

事故仍在溯源,OpenAI 已向受影響用戶發郵件提醒留意釣魚風險,並重申「平臺本身無漏洞」。這是繼2023年 Redis 漏洞之後,OpenAI 再次因第三方服務被拉響警報——把數據外包給外部統計平臺,省下的工程成本換來的是新的攻擊面。