Kompania ka publikuar detaje shtesë dhe një ndarje teknike se çfarë e çoi atë në heqjen e shërbimit të hënën.
OpenAI ka njoftuar detaje të reja se pse e mori ChatGPT jashtë linje të hënën, dhe tani po thotë se disa informacione të pagesave të përdoruesve mund të jenë ekspozuar gjatë incidentit.
Sipas një postimi nga kompania, një gabim në një bibliotekë me burim të hapur të quajtur redis-py krijoi një problem me memorien që mund t’u ketë treguar disa përdoruesve aktivë katër shifrat e fundit dhe datën e skadimit të kartës së kreditit të një përdoruesi tjetër, së bashku me emrin dhe mbiemrin e tyre. , adresën e emailit dhe adresën e pagesës. Përdoruesit gjithashtu mund të kenë parë fragmente të historive të bisedave të të tjerëve gjithashtu.
Kjo nuk është hera e parë që problemet e cache-it kanë bërë që përdoruesit të shohin të dhënat e njëri-tjetrit – e famshmja, në ditën e Krishtlindjeve në 2015, përdoruesve të Steam iu shërbyen faqe me informacione nga llogaritë e përdoruesve të tjerë. Ka njëfarë ironie në faktin se OpenAI vendos shumë fokus dhe kërkime në zbulimin e pasojave të mundshme të sigurisë dhe sigurisë së AI-së së tij, por që ajo u kap nga një çështje shumë e njohur e sigurisë.
Kompania thotë se rrjedhja e informacionit të pagesës mund të ketë prekur rreth 1.2 përqind të ChatGPT Plus që përdori shërbimin midis orës 4 të mëngjesit dhe orës 13:00 ET më 20 mars.
Ekzistojnë dy skenarë që mund të kenë bërë që të dhënat e pagesave t’i shfaqen një përdoruesi të paautorizuar, sipas OpenAI. Nëse një përdorues shkoi te ekrani Llogaria ime > Menaxho abonimin, gjatë periudhës kohore, ai mund të ketë parë informacione për një përdorues tjetër të ChatGPT Plus që përdorte në mënyrë aktive shërbimin në atë kohë. Kompania thotë gjithashtu se disa emaile të konfirmimit të abonimit të dërguara gjatë incidentit shkuan te personi i gabuar dhe se ato përfshijnë katër shifrat e fundit të numrit të kartës së kreditit të një përdoruesi.
Kompania thotë se është e mundur që të dyja këto gjëra të kenë ndodhur para datës 20, por nuk ka konfirmim që ka ndodhur ndonjëherë. OpenAI ka kontaktuar me përdoruesit që mund të kenë ekspozuar informacionin e tyre të pagesës.
Sa i përket mënyrës sesi ndodhi e gjithë kjo, me sa duket erdhi deri te ruajtja në memorie. Kompania ka një shpjegim të plotë teknik në postimin e saj, por TL;DR është se ajo përdor një pjesë të softuerit të quajtur Redis për të ruajtur informacionin e përdoruesit. Në rrethana të caktuara, një kërkesë e anuluar Redis do të rezultonte në kthimin e të dhënave të korruptuara për një kërkesë tjetër (gjë që nuk duhej të kishte ndodhur). Zakonisht, aplikacioni do t’i merrte ato të dhëna, duke thënë, “kjo nuk është ajo që kërkova” dhe do të hidhte një gabim.
Por nëse personi tjetër kërkon të njëjtin lloj të dhënash – nëse ai kërkon të ngarkojë faqen e llogarisë së tij dhe të dhënat ishin informacione të llogarisë së dikujt tjetër, për shembull – aplikacioni vendosi se gjithçka ishte në rregull dhe ua tregoi atyre.
Kjo është arsyeja pse njerëzit po shihnin informacionin e pagesave të përdoruesve të tjerë dhe historinë e bisedave; atyre u shërbeheshin të dhëna të memories që në fakt duhej t’i shkonin dikujt tjetër, por jo për shkak të një kërkese të anuluar. Kjo është gjithashtu arsyeja pse ai preku vetëm përdoruesit që ishin aktivë. Personat që nuk e përdornin aplikacionin nuk do t’i kishin të dhënat e tyre të ruajtura në memorie.
Ajo që i bëri gjërat vërtet keq ishte se, në mëngjesin e 20 marsit, OpenAI bëri një ndryshim në serverin e tij që shkaktoi aksidentalisht një rritje të kërkesave të anuluara të Redis, duke rritur numrin e shanseve që gabimi t’i kthejë dikujt një cache të palidhur.
OpenAI thotë se gabimi, i cili u shfaq në një version shumë specifik të Redis, tani është rregulluar dhe se njerëzit që punojnë në projekt kanë qenë “bashkëpunëtorë fantastikë”. Ai gjithashtu thotë se po bën disa ndryshime në softuerin dhe praktikat e veta për të parandaluar që kjo lloj gjëje të ndodhë përsëri, duke përfshirë shtimin e “kontrollimeve të tepërta” për t’u siguruar që të dhënat që serviren i përkasin në të vërtetë përdoruesit që i kërkon dhe duke reduktuar gjasat që Grupi Redis do të nxjerrë gabime nën ngarkesa të larta.
Ndërsa unë do të argumentoja se ato kontrolle duhet të kishin qenë aty në radhë të parë, është një gjë e mirë që OpenAI i ka shtuar ato tani. Softueri me burim të hapur është thelbësor për ueb-in modern, por ai gjithashtu vjen me grupin e vet të sfidave; sepse çdokush mund ta përdorë atë, defektet mund të prekin një numër të gjerë shërbimesh dhe kompanish menjëherë. Dhe, nëse një aktor me qëllim të keq e di se çfarë softueri përdor një kompani specifike, ai mund ta synojë atë softuer për të provuar dhe me vetëdije të prezantojë një shfrytëzim. Ka kontrolle që e bëjnë këtë më të vështirë, por siç kanë treguar kompani si Google, është më mirë të punoni për t’u siguruar që kjo të mos ndodhë dhe të jeni të përgatitur për këtë nëse ndodh.
