“译安”,意在使用中英双译给读者阅读信息安全类文章,主要聚焦APT攻击,网络事件,偶尔也发一些技术文章。翻译安全,议论安全是本系列的特色。不仅能学习到安全知识,洞悉最新安全事件,还能学习到英语,并列举出重要词汇,有助于英语的提升和专业词汇量的积累。没有特殊情况,每周五更新一篇“译安”系列文章。
![网络犯罪分子窃取 OpenAI API 密钥以盗用 GPT-4]( "网络犯罪分子窃取 OpenAI API 密钥以盗用 GPT-4")
Yesterday, moderators of the r/ChatGPT Discord channel banned a script kiddie who was freely sharing stolen OpenAI API keys with hundreds of other users.
昨天,r/ChatGPT Discord 频道的管理员禁止了一个脚本小子,他正在自由共享被盗 OpenAI API 密钥,与数百名其他用户分享。
API keys allow developers to integrate OpenAI’s technologies — particularly its latest language model, GPT-4 — into their own applications. Often, however, developers forget their keys in their code, making account theft a matter of just a few clicks.
API 密钥允许开发人员将 OpenAI 的技术,尤其是最新的语言模型 GPT-4,集成到自己的应用程序中。然而,开发人员经常会在他们的代码中忘记密钥,这使得帐户被盗只需要几个点击。
Since at least March, a user by the name "Discodtehe" has been scraping API keys from source code published to the software collaboration platform Replit. The person shared free access to the booty on r/ChimeraGPT, where a community of more than 800 members began racking up usage charges to the stolen accounts.
自三月份以来,一个名为“Discodtehe”的用户一直在从发布到软件协作平台 Replit 的源代码中获取 API 密钥。这个人在 r/ChimeraGPT 上共享了对战利品的免费访问,一个拥有超过 800 名成员的社群开始在被盗的账户上累积使用费用。
Following Vice reporting on June 7, Discodtehe can no longer be found on Discord or Reddit. But the story isn’t over, experts emphasize: Tens of thousands of exposed API keys are still out in the wild.
在 Vice 的报道之后,Discodtehe 在 Discord 或 Reddit 上已经找不到了。但专家强调,这个故事还没有结束:数以万计的 API 密钥仍然在公开的网络上。
"The core of the story is: Don’t put credentials in your source code," says Chris Anley, chief scientist at NCC Group. "And certainly don’t then publish that source code."
“这个故事的核心是:不要将凭据放在你的源代码中,” NCC Group 的首席科学家 Chris Anley 说。“当然也不要发布那个源代码。”
OpenAI Keys Are Everywhere As ChatGPT exploded in popularity, its keys began proliferating on the open Web.
随着 ChatGPT 的流行,它的密钥开始在公开的 Web 上泛滥。
In The State of the Secrets Sprawl 2023 report, published March 8, GitGuardian observed thousands of exposed OpenAI keys in public repositories, rising in proportion to the newfound popularity ChatGPT.
在 3 月 8 日发布的《秘密扩散状况报告》中,GitGuardian 观察到公共存储库中有数千个公开的 OpenAI 密钥,与 ChatGPT 的新发现的流行程度成比例上升。
As of this writing, GitGuardian tells Dark Reading there are more than 50,000 publicly leaked OpenAI keys on GitHub alone. That makes OpenAI developer accounts the third most exposed in the world, behind only MongoDB and Google.
在撰写本文时,gi卫报告诉Dark Reading,仅在GitHub上就有超过50,000个公开泄露的OpenAI密钥。这使得OpenAI开发者账户成为仅次于MongoDB和谷歌的全球第三大曝光对象。
★ Key vocabulary
- API (Application Programming Interface) - 应用程序编程接口
- vulnerability - 漏洞
- credentials - 凭据
- key management - 密钥管理
- brute force attack - 暴力攻击
- authentication - 认证
- data breach - 数据泄露
- machine learning - 机器学习
- source code - 源代码
- cybercriminals - 网络犯罪分子
★ Conclusion
这篇文章主要讲述了开发人员在代码中嵌入 OpenAI API 密钥,而这些密钥很容易被攻击者盗取。文章指出,开发人员的疏忽和公开泄露的密钥已经被利用,网络犯罪分子一直在贩卖被盗的 OpenAI 密钥。文章建议开发人员不要将凭据放在源代码中,并建议使用密钥管理服务来保护 API 密钥。此外,文章还提到了企业在保护机密方面的问题,如硬编码的凭据可能会在员工离职时被泄露。文章最后强调,开发人员应该采用最佳实践来保护其 API 密钥,如使用加密、机器学习技术等。
★
原文始发于微信公众号(Eonian Sharp):网络犯罪分子窃取 OpenAI API 密钥以盗用 GPT-4
评论