一位名为 Pedro José Pereira Vieito 的开发者,在发现 ChatGPT for Mac 应用程序会将用户与聊天机器人的对话以明文形式存储在本地后,发现了这一问题。他告诉科技媒体 The Verge 的 Jay Peters:“我很好奇为什么 OpenAI 选择不使用应用沙盒保护,并最终检查了他们存储应用数据的位置。”
这促使 Pereira Vieito 开发了名为“ChatGPTStealer”的简单应用程序,用于演示在 ChatGPT 应用程序之外的文本窗口中加载聊天记录是多么容易。Peters 在自己成功尝试了该应用程序之后表示,他只需要更改文件名,就能看到自己电脑上的对话文本,这表明隐私风险有多大。
ChatGPT Mac 应用程序仅通过 OpenAI 的网站提供,因此它没有义务遵循适用于通过 Mac App Store 分发的软件的 Apple 沙盒要求。这种疏忽基本上意味着任何其他正在运行的应用程序或进程都可以访问 ChatGPT 对话,而无需提示用户进行授权。
在 The Verge 联系 OpenAI 之后,该公司发布了一项更新,声称该更新对聊天内容进行了加密。OpenAI 发言人 Taya Christianson 告诉该网站:“我们意识到了这个问题,并且已经发布了应用程序的新版本,该版本对这些对话进行了加密。我们致力于在我们的技术不断发展的同时,提供有用的用户体验并保持我们的高安全标准。”
在下载更新(v1.2024.171)后,Pereira Vieito 的应用程序不再有效,Peters 也表示他无法再以明文形式查看他与聊天机器人的对话。
分析:
- 隐私风险: 这个事件再次凸显了应用程序开发中,缺乏安全防范措施带来的隐私风险。开发者应该确保用户数据的安全存储和传输,避免将敏感信息暴露给恶意攻击者。
- 沙盒机制的重要性: Apple 的沙盒机制是为了保护用户隐私而设立的,它限制了应用程序可以访问的资源和数据。开发人员应该遵循沙盒机制的要求,确保应用程序的行为符合预期,并避免潜在的安全性问题。
- 用户意识: 用户应该提高对隐私问题的意识,谨慎选择和使用应用程序,并了解应用程序的权限和隐私政策。
结论:
ChatGPT for Mac 应用程序的隐私漏洞是一个重要的提醒,提醒我们开发者和用户都应该关注应用程序的安全性问题。用户数据安全是一个普遍的问题,需要我们共同努力,加强安全防范措施,才能构建更安全、更可靠的数字化环境。
