Hackers piratean al GPT-4 realizando scraping a las claves API expuestas

Iniciado por AXCESS, Junio 08, 2023, 05:07:35 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 08, 2023, 05:07:35 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

¿Por qué pagar $ 150,000 en acceso a OpenAI cuando podría robarlo?

Las personas en Discord para el subreddit r/ChatGPT están anunciando tokens API de OpenAI robados que se han extraído del código de otras personas, según registros de chat, capturas de pantalla y entrevistas. Las personas que usan las claves de API robadas pueden implementar GPT-4 mientras acumulan cargos de uso en la cuenta de OpenAI robada.

En un caso, alguien robó el acceso a una valiosa cuenta de OpenAI con un límite superior de $150,000 de uso y ahora ofrece ese acceso de forma gratuita a otros miembros, incluso a través de un sitio web y un segundo servidor Discord dedicado. Ese servidor tiene más de 500 miembros.

Las personas que deseen utilizar los modelos de lenguaje grande de OpenAI, como GPT-4, deben crear una cuenta con la empresa y asociar una tarjeta de crédito a la cuenta. OpenAI luego les da una clave API única que les permite acceder a las herramientas de OpenAI. Por ejemplo, un desarrollador de aplicaciones puede usar código para implementar ChatGPT u otros modelos de lenguaje en su aplicación. La clave API les da acceso a esas herramientas y OpenAI cobra una tarifa según el uso:

 "¡Recuerde que su clave API es un secreto! No lo comparta con otros ni lo exponga en ningún código del lado del cliente (navegadores, aplicaciones)", advierte OpenAI a los usuarios. Si la clave es robada o expuesta, cualquiera puede comenzar a acumular cargos en la cuenta de esa persona.

El método por el cual el pirata obtuvo acceso destaca una consideración de seguridad que los usuarios de pago de OpenAI deben tener en cuenta. La persona dice que crearon un sitio web que permite a las personas colaborar en proyectos de codificación, según las capturas de pantalla. En muchos casos, parece probable que los autores del código alojado en el sitio, llamado Replit, no se dieron cuenta de que habían incluido sus claves API de OpenAI en su código de acceso público, exponiéndolos a terceros.

"Mi cuenta todavía no está prohibida después de hacer locuras como esta", escribió el miércoles el pirata, que se hace llamar Discodtehe, en el servidor r/ChatGPT Discord.

En los últimos días, el uso de Discodtehe de al menos una clave API de OpenAI robada parece haber aumentado. Compartieron varias capturas de pantalla del aumento del uso de la cuenta con el tiempo. Una captura de pantalla reciente muestra el uso este mes de $1,039.37 de $150,000.

"Si tenemos suficientes personas, es posible que no nos prohíban a todos", escribió Discodtehe el miércoles.

Sin embargo, Discodtehe parece haber estado extrayendo claves API expuestas durante más tiempo. En un mensaje de Discord de marzo, escribieron

"el otro día raspé No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y encontré más de 1000 claves openai api en funcionamiento".

"Ni siquiera hice un scraping completo, solo miré aproximadamente la mitad de los resultados", agregaron.

Replit es una herramienta en línea para escribir código de forma colaborativa. Los usuarios pueden hacer proyectos, lo que Replit llama "Repls", que son públicos de forma predeterminada, dijo Cecilia Ziniti, consejera general y directora de desarrollo comercial de Replit. Replit ofrece un mecanismo para manejar claves API llamado Secrets, agregó Ziniti.

"Algunas personas introducen accidentalmente tokens de código duro en el código de su Repl, en lugar de almacenarlos en Secrets. En última instancia, los usuarios son responsables de salvaguardar sus propios tokens y no deberían almacenarlos en código público", dijo Ziniti.

Ziniti dijo que la compañía escanea proyectos en busca de tipos de claves de API populares, como las de Github.

"En el futuro, Replit revisará nuestro sistema de escaneo de tokens para garantizar que los usuarios sean advertidos sobre la exposición accidental de tokens ChatGPT".

Discodtehe fue un paso más allá de solo raspar tokens. Otro servidor de Discord, llamado ChimeraGPT, ofrece

 "¡acceso gratuito a GPT-4 y GPT-3.5-turbo!"

, según los registros de chat. Discodtehe dijo en otro mensaje que ChimeraGPT está utilizando la misma organización que la clave API robada discutida en el servidor r/ChatGPT Discord. Se encontró un repositorio de Github que recomienda usar ChimeraGPT para obtener una clave de API gratuita. Al momento de la noticia este servidor tiene 531 miembros.

Discodtehe dijo en otro mensaje que también crearon un sitio web donde las personas pueden solicitar acceso gratuito a la API de OpenAI. (Irónicamente, este sitio también está alojado en Replit; poco antes de la publicación, el sitio se volvió inaccesible).

El sitio les dice a los usuarios que ingresen su dirección de correo electrónico, hagan clic en un enlace enviado por OpenAI y acepten la invitación, establezcan su dirección de facturación predeterminada en la organización "weeeeee" que parece estar usando Discodtehe.

Fuente:
Vice
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario