作者 | 屠敏

出品 | CSDN（ID：CSDNnews）

ChatGPT 的火爆，超出了很多人的想象。今年初，根据 UBS（瑞士银行巨头瑞银集团）的一份报告显示，ChatGPT 推出仅两个月后，它在 2023 年 1 月末的月活用户已经突破了 1 亿，成为史上用户数增长最快的消费者应用。

不过，就是这样一款应用，最近却被推上风口浪尖，只因不少用户发现自己竟然可以看到别人与 ChatGPT 的聊天记录。

聊天信息被看光了可还行？

这导致 OpenAI 曾一度选择紧急关闭 ChatGPT。经过几天的排查，直至近日，OpenAI 正式公开了此次事件的技术原因，其表示，是开源库 Redis 中的一个 Bug 才导致了 ChatGPT 服务暴露了其他用户的个人信息和聊天标题。

而这究竟是怎么一回事，我们将通过 OpenAI 的官方公告了解事情的真相。

没想到的是，这条帖子迅速引发了多人的关注，也有很多用户在下方留言称自己也遇到了同样的问题，一位 Twitter 用户 Jordan L Wheeler 表示：“我看不到内容，但可以看到他们最近的对话标题。”

OpenAI 在公告中对这种情况进行了解释，「如果两个用户大约同时在线活跃，那么新创建的对话的第一条消息也有可能在其他人的聊天记录中可见」。

实现这一目标的方法是，首先创建一个特制的链接，将一个 .CSS 资源加载到 "chat.openai[.]com/api/auth/session/"端点上，并诱使用户点击该链接，导致包含有 accessToken 字符串的 JSON 对象的响应被缓存在 Cloudflare 的 CDN 中。

对 CSS 资源的缓存响应（其 CF-Cache-Status header 值设置为HIT）然后被攻击者滥用，以收获目标的 JSON Web Token（JWT） 凭证并接管账户。

Nagli 表示，OpenAI 在负责任的披露后两小时内就修复了该漏洞，表明了问题的严重性。

开源维护者是否要为商业公司的使用负责到底？

不过，虽然 OpenAI 在公告中一直强调，“Redis 开源维护者是出色的合作者，他们迅速解决了错误并推出了补丁。Redis 和其他开源软件在我们的研究工作中发挥着至关重要的作用。它们的重要性不可低估——如果没有 Redis，我们将无法扩展 ChatGPT。”

但是，对于 ChatGPT 具备捉 Bug 能力，却避免不了自己的 Bug，而且 Redis 承担主责这一情况，也引发了不少网友的讨论，甚至称「ChatGPT 惹的祸，终是要让开源软件来担着了」。

这也让很多人联想到了当初风靡全球的 Log4j 2 漏洞，以及 Curl 创始人 Daniel Stenberg 剑指苹果的事件：

第三方公司在商业化产品中使用开源项目，从中赚得盆满钵满，而自己从未提供技术资金支持，当遇到问题时，又推回给开源开发者，一味“白嫖”只拿钱不办事，再次增加了开源开发者的负担。

对此，你认为开源维护者是否要为商业软件的安全问题负责到底？