Rubate chiavi API di OpenAI, accesso gratis a GPT-4 e non solo

Le chiavi API assegnate da OpenAI ai singoli account dovrebbero restare segrete, ma alcune sono state rubate. Ecco come è stato possibile.
Pasquale Oliva
Pubblicato il 9 giu 2023
Rubate chiavi API di OpenAI, accesso gratis a GPT-4 e non solo

Nel bene e nel male, ultimamente non si fa altro che parlare di intelligenza artificiale e, più precisamente, di ChatGPT. La notizia dell’ultima ora è che alcuni “pirati” hanno messo a segno un furto di una certa portata: hanno rubato le chiavi API che aprono i lucchetti di GPT-4 e di altri strumenti di proprietà di OpenAI.

Il furto delle API di OpenAI: cosa è successo

Stando alle discussioni e agli screenshot pubblicati sul server Discord del subreddit r/ChatGPT, a favorire il furto sarebbero stati addirittura i proprietari degli stessi account. In modo involontario, inserendo erroneamente le chiavi API in questione nel codice di alcuni progetti pubblicati in rete.

Un esempio? Sono state sottratte le chiavi API associate ad un account con un limite massimo d’uso pari a 150.000 dollari, e ora questo account è accessibile gratuitamente da altre persone.

OpenAI, chiavi API, account: come funziona il tutto

Chiunque voglia utilizzare i modelli di OpenAI, compreso l’ormai celebre GPT-4 alla base di ChatGPT (qui le ultime sul suo futuro), deve obbligatoriamente creare un account e associare allo stesso un metodo di pagamento, una carta di credito. A questo punto la società no profit statunitense assegna una chiave API all’account che spalanca le porte ai vari modelli. La somma addebitata sulla carta di credito varia in base al numero di token impiegati, ovvero in base all’uso.

Considerato quanto appena spiegato, OpenAI invita tutte le persone che usano i suoi modelli a non condividere le chiavi API nei codici lato client, quindi browser o applicazioni per dispositivi mobili. A quanto pare però il messaggio non è arrivato a tutti, e infatti alcuni pirati 2.0 hanno rivoltato il sito Replit (noto per la collaborazioni su progetti software) e hanno scovato proprio delle chiavi API di OpenAI.

Chi conosce Replit, è probabilmente anche a conoscenza del sistema di sicurezza chiamato Secrets, che impedisce l’esposizione pubblica delle chiavi API. La domanda dunque sorge spontanea: come è possibile che siano state rubate le chiavi API di OpenAI? Il problema è che gli incauti sviluppatori hanno inserito i token di OpenAI direttamente nel codice.

Fonte: VICE

Ti consigliamo anche

Con diffusione IA i CAPTCHA destinati a diventare sempre più complessi
IA

Con diffusione IA i CAPTCHA destinati a diventare sempre più complessi
Snowflake Arctic, il primo LLM davvero aperto destinato alle imprese
Business

Snowflake Arctic, il primo LLM davvero aperto destinato alle imprese
Novità Gemini: ecco
IA

Novità Gemini: ecco "modalità di conversazione" e supporto smartphone datati
Gemini per Android più potente e con più funzioni nel nuovo aggiornamento
Applicativi

Gemini per Android più potente e con più funzioni nel nuovo aggiornamento
Link copiato negli appunti