Diversi “pirati” hanno rubato le chiavi API che permettono di accedere al modello GPT-4 e ad altri tool di OpenAI. Le chiavi sono state pubblicate sul server Discord del subreddit r/ChatGPT. Il furto è avvenuto con l’involontaria complicità dei proprietari degli account.
Scraping delle chiavi API di OpenAI
In base alle discussioni e agli screenshot pubblicati su Discord, le chiavi API sono state inserite per sbaglio nel codice di alcuni progetti pubblicati online. In un caso, il “pirata” ha rubato le chiavi API di un account con limite di uso massimo pari a 150.000 dollari e offerto l’accesso gratuito ad altre persone.
Chi vuole usare i modelli di OpenAI, come il famoso GPT-4 alla base di ChatGPT, deve creare un account e associare una carta di credito. L’azienda californiana assegna una chiave API ad ogni account per l’accesso ai vari tool, ad esempio quello che consente di integrare il chatbot nelle app. In base all’uso (numero di token) viene addebita una somma sulla carta di credito.
OpenAI avverte gli utenti di non condividere la chiave API in codice lato client (browser o app). Purtroppo qualcuno non ha seguito il consiglio. Un “pirata” ha effettuato lo scraping del sito Replit che permette di collaborare su progetti software, trovando nel codice le chiavi API di OpenAI. All’ignaro proprietario del suddetto account sono stati già addebitati oltre 1.000 dollari per l’uso gratuito della sua chiave API.
Replit offre un meccanismo per la gestione delle chiavi API, denominato Secrets, che evita la loro esposizione pubblica. Purtroppo alcuni sviluppatori hanno inserito i token di OpenAI nel codice. Replit ha comunicato che aggiornerà il sistema di scansione per trovare le chiavi di OpenAI nel codice (come già avviene per quelle di GitHub). Un amministratore del server Discord ha comunicato che il “pirata” verrà bannato, mentre OpenAI revocherà tutte le chiavi API rubate.
Ti potrebbe interessare
8 giu 2023