OpenAI与数据分析平台Mixpanel近日发布联合声明称,由于黑客入侵Mixpanel系统,OpenAI客户数据遭到泄露。此次事件导致OpenAI API门户的用户档案信息被窃取,但ChatGPT及其他产品用户未受影响。
Part01
短信钓鱼突破防线
根据Mixpanel首席执行官Jen Taylor的通报,攻击发生于11月8日。黑客通过「短信钓鱼」手段锁定企业员工,利用短信绕过多层企业安防体系,成功获取Mixpanel系统访问权限。
被盗数据涉及platform.openai.com账户的元信息,包括:
• API账户注册姓名
• 关联电子邮箱
• 基于浏览器定位的粗略地理位置(城市、州、国家)
• 访问API时使用的操作系统与浏览器类型
• 来源网站
• 关联的组织或用户ID
Mixpanel首席执行官强调:已主动通知所有受影响客户。若未收到直接联系,则表明数据未泄露。
Part02
应急响应:合作终止与风险管控
OpenAI在11月25日收到Mixpanel共享的受影响客户数据集后,经评估已终止与Mixpanel的合作,暗示此举可能为永久性措施。目前OpenAI正直接通知受影响的组织、管理员及用户,并表示虽未发现Mixpanel环境外部的系统或数据受影响,仍将持续监控数据滥用迹象。
OpenAI特别澄清:「本次事件并非OpenAI系统遭入侵。聊天记录、API请求、使用数据、密码、凭证、API密钥、支付信息及身份证件均未泄露。」
Part03
用户应对建议
针对此次事件,用户需从三个层面评估潜在风险:
• 影响范围 :哪些 OpenAI API 客户受影响
• 数据滥用可能 :攻击者将如何利用所窃元数据
• 延伸风险 :是否存在 API 密钥或账户凭证等高价值信息被进一步窃取的可能
目前,两家公司均未公布确切受影响客户数量,仅表示“已直接联系所有确认受影响方”。OpenAI 设立专用邮箱 mixpanelincident@openai.com 接受客户问询;Mixpanel 同步提供支持渠道:support@mixpanel.com。
然而,过往数十年的数据泄露案例表明:企业在事件初期往往难以全面掌握泄露范围。因此,即使尚未收到通知的 OpenAI 客户,也应主动开展与已确认受影响客户同等强度的安全自查。
OpenAI 建议用户:
• 警惕针对已泄露邮箱地址的钓鱼攻击;
• 仔细核验声称来自 OpenAI 域名(如 @openai.com)的邮件真伪;
• 立即启用多因素认证 (MFA)。
需特别注意:在 API 使用场景下,钓鱼攻击更具针对性,例如伪造“账单异常”“配额超限”或“可疑登录”等高仿真告警,诱导用户点击恶意链接或提交凭证。尽管 OpenAI 明确表示无需轮换或重置账户密码及 API 密钥,但出于安全考虑,开发者仍应主动更新凭证,彻底消除潜在风险敞口。
多家专注 API 与 AI 安全的机构(如 Ox Security、Dev Community)已就此事件发布更细化的应对指南。
Part04
下游攻击面分析
OpenAI 使用 Mixpanel 等外部分析平台追踪客户通过 API 与模型的交互情况,包括所选模型类型及地理位置、邮箱 ID 等基础元数据,但不涉及浏览器发送至模型的加密聊天查询与响应内容。
此次事件表明,主平台安全仅是风险防控的一环——次级平台和合作伙伴可能成为精心防护企业的后门漏洞,Salesforce 客户就曾因合作伙伴 Salesloft 的数据泄露而遭受损失。
AI 平台暴露的攻击面比表面更广,企业在全面接入前应充分评估其安全与治理挑战。
来源: freebuf.
领取优惠
提交成功!