OpenAI的Sora API泄露：API安全的又一次警钟

Sora是OpenAI开发的一款视频生成工具，近期处于内测阶段，邀请了数百名艺术家参与测试，旨在通过他们的反馈完善模型。按理说，这本应是一次双赢的合作——艺术家提供创意和建议，OpenAI优化工具。但实际情况却让艺术家们感到愤怒和失望。

1. 贡献未得到应有回报

艺术家为OpenAI提供了大量无偿的测试、反馈和实验工作，然而只有少量作品有机会通过竞赛形式获得展示机会。

2. 作品过度审核

提交的创作需要经过OpenAI团队层层审核，展览决定权完全掌握在官方手中，这让艺术家们觉得创作自由受限，甚至沦为免费的公关工具。

3. 缺乏尊重的合作模式

艺术家认为，自己为估值高达1500亿美元的公司提供了巨大公关价值，却几乎没有实际回报。他们的创作更像是为OpenAI免费制作宣传素材。

于是，愤怒的艺术家决定采取行动，其中一部分人选择了“放大招”——将Sora的API泄露到开源平台Hugging Face。

在Hugging Face平台上，这些艺术家发布了一个接入Sora API的前端工具，任何人都可以通过它生成视频。泄露版本支持通过简短的文本描述生成10秒长度的视频，分辨率可达1080P、720P和360P。更惊人的是，泄露的Sora API似乎是经过优化的“Turbo”版本，生成速度更快，效果令人惊艳。

这一泄露让Sora瞬间成为公众热议的焦点，不少用户利用这段时间生成了各种视频。尽管工具很快被OpenAI紧急叫停，但事件的影响早已扩散。

更有网友用 AI 生成了山姆·奥特曼紧急拔网线的恶搞视频

随项目同时发布的还有一封言辞激烈的公开信。在信中，艺术家们将OpenAI比作“中世纪的封建领主”，谴责他们利用了艺术家的无私贡献，却并没有给出合理的报酬。“我们获得了Sora的使用权，并承诺成为早期测试者、红队成员和创意合作伙伴。然而，我们认为，我们被引诱进行‘艺术洗白’，以告诉世界Sora对艺术家来说是一个有用的工具。”

有意思的是，在公开信相关网站上，它获得了798名联名支持者，与OpenAI极其不对付的马斯克也在其中。但考虑到签名系统不需要严格的身份认证，暂时不能确定其是否为马斯克本人。

看似不起眼的API漏洞，为什么会成为引发大规模数据安全事故的导火索？

在数字化时代，API（应用程序编程接口）早已成为企业系统之间进行数据交互的核心纽带。从企业角度来看，大量敏感数据如用户的个人信息、企业的商业机密等，都通过 API 进行传输和交互。一旦 API 安全出现漏洞，这些数据就可能落入不法分子手中。金融机构的 API 若被攻破，客户的账户信息、交易记录等可能被窃取，进而导致客户资金受损，企业声誉扫地。医疗行业的 API 泄露，患者的隐私数据被曝光，这不仅侵犯了患者的权益，还可能违反相关法律法规，给医疗机构带来巨大的法律风险。

无论是智能化应用的创新，还是传统业务的转型，API都扮演着不可或缺的角色。但API也像一把双刃剑：

1. 易暴露性：API往往对外开放，一旦验证机制薄弱或密钥管理不善，就容易成为攻击者的突破口。

2. 高价值性：通过API直接访问核心功能或敏感数据，攻击成本低但潜在收益高。

3. 难管控性：随着企业API数量的激增，缺乏全面的安全监控和防护体系，难以及时发现和阻止攻击。

像Sora事件这样的API泄露，可能只是冰山一角。更多的安全风险往往在暗处酝酿，直至爆发。

OWASP Top 10 API Security Risks – 2023清单

每一种威胁的背后，都可能造成不可挽回的经济损失、品牌声誉受损以及监管罚款等问题。

为避免API接口遭受攻击与威胁，应当优先解决API资产管理的问题。

由于API数量快速增加，复杂性日益提升，API资产管理变得越来越困难。安恒信息API风险监测系统是一款集简单易用、风险监测准确、场景覆盖全面、资产运营高效、数据操作全面留痕特点于一身的API数据安全产品。该产品不侵入业务，通过旁路部署即可轻松实现API 资产动态梳理和 API 风险监测。

2023年，安恒信息API风险监测系统已通过信通院全面测试评估，在 API 资产管理、API 安全监测、API 安全防护、API 审计四大安全模块的成熟度评测中均达到“先进级（最高级）”要求，成为全国首批通过API安全能力评估的产品。

通过部署安恒API安全网关系统，可统一为API提供访问身份认证、权限控制、访问监控、动态脱敏、流量管控、流量加密等机制，通过阻止大部分潜在攻击流量，使其无法到达真正的API服务侧，并对API访问进行全程监控，保障API的安全调用及访问可视。

安恒API安全网关系统还可定期更新病毒库与安全防御规则，及时修复潜在漏洞和缺陷，在不断完善API接口安全风险防范的同时，最大程度地保障API接口的稳定运行。

某集团作为一家特大型国有汽车企业，其产销一直在中国的汽车产业处于领先地位。该集团核心业务与内外部数据处 理高度依赖API，然而，敏感数据的调用和流转不透明，缺乏有效的数据安全监测手段，难以指导实施有效的防护措施， 导致数据安全责任难以落实。

仅集团内部对外暴露的 API 数量就达到了 2W+，缺乏有效的手段梳理 API 资产清单，存在存量资产管理不当的安全隐患。

在对 API 资产无法梳理清楚的情况下，更无法感知对外暴露的 API 是否存在脆弱性风险和行为风险，以及是否可能存在敏感数据泄露。

通过旁路部署API风险监测工具，从网络流量中自动发现目标系统存在的API资产并纳入管理。基于监测API资产被访问的情况，针对数据接口可能面临的脆弱性风险和数据泄露、滥用等问题，实现数据接口鉴权失效风险、资产信息泄漏风险、敏感数据暴露风险、接口访问行为风险、用户实体异常行为风险等场景监测，并具备对发现的安全风险进行取证 和溯源的分析能力。

动态资产梳理：系统共识别到2000+对外暴露的应用系统、2W+API 。并发现疑似下线应用 15 个 、API 378个。这不仅可以帮助企业更好地理解和管理API资产，也是识别并解决安全问题的重要依据。

智能风险监测：此次系统共识别发现 1900 个 API 存在高危脆弱性风险，发现一起每日 0-2 点黑客暴力破解的攻击行为。系统持续监控API的脆弱性、合规、攻击行为，让企业能够及时了解风险，防范在先，扼杀事件发生的可能。

API全流量审计：系统全面记录API的所有操作，形成详细的审计日志。这不仅可以帮助查明问题的原因，也使得API的调用更为透明，防止不正当操作和攻击行为。

这三大功能共同保证了“数据资产可管、安全风险可见、API操作全面留痕”。

随着API成为企业核心业务能力的关键支撑,API安全管理的重要性逐渐凸显。API风险监测工具的应用可以全面强化 API安全管理,实现从API资产发现、安全风险监测到漏洞修复的闭环管理。这在一定程度上可以保证API的安全可靠, 减少数据泄露、服务中断等安全事件的发生。

OpenAI Sora事件让我们深刻认识到，API作为现代技术生态的基础设施，亟需从设计到运行的全方位防护。企业不仅要关注技术的先进性，更要确保这些技术的安全性和可控性。

安恒信息将持续以全、智、联的动态全过程安全体系为核心，推动API安全技术的深入发展，助力企业应对更多未知的挑战。

安全不止于此，未来由你我共同守护。