I cybercriminali stanno rubando le chiavi API di OpenAI per accedere illegalmente a GPT-4, il modello di linguaggio AI di ultima generazione. Queste chiavi API permettono agli sviluppatori di integrare le tecnologie di OpenAI, in particolare GPT-4, nelle loro applicazioni. Tuttavia, spesso gli sviluppatori dimenticano le loro chiavi nel loro codice, rendendo il furto dellโaccount una questione di pochi clic.
Il furto delle chiavi API
Un utente di nome โDiscodteheโ ha rubato le chiavi API dal codice sorgente pubblicato sulla piattaforma di collaborazione software Replit. Questo utente ha condiviso lโaccesso gratuito alle chiavi rubate su r/ChimeraGPT, dove una comunitร di oltre 800 membri ha iniziato a accumulare costi di utilizzo sugli account rubati.
Esposizione delle chiavi API
Le chiavi API di OpenAI sono diventate sempre piรน esposte sul web aperto con la crescente popolaritร di ChatGPT. GitGuardian ha rilevato migliaia di chiavi OpenAI esposte in repository pubblici. Al momento, ci sono piรน di 50.000 chiavi OpenAI trapelate pubblicamente solo su GitHub, rendendo gli account degli sviluppatori di OpenAI i terzi piรน esposti al mondo, dietro solo a MongoDB e Google.
Come proteggere le chiavi API
Per proteggere le chiavi API, gli sviluppatori dovrebbero assegnare chiavi uniche a ciascun utente, utilizzare variabili di ambiente e un servizio di gestione delle chiavi, ruotare le chiavi e, naturalmente, non includere mai le chiavi nel codice. Inoltre, le organizzazioni dovrebbero ruotare le chiavi regolarmente, idealmente ogni giorno se sono molto sensibili o se sanno di essere state prese di mira in precedenza.