2025年5月29日，我通过加密邮件向OpenAI报告了一个漏洞，该漏洞允许查看其他用户的聊天内容，可能涉及个人数据、商业机密或专有代码。OpenAI已自动确认收到，但截至7月16日，尚未收到人工跟进，漏洞仍未修复。泄露的聊天内容显示出真实对话的特征，包括上下文连贯、多语言使用及准确的财务分析。我选择通过官方邮件而非漏洞赏金平台报告，因其条款令人担忧。

主要内容总结

标题: OpenAI – 漏洞的负责任披露

日期: 2025年5月29日

报告方式: 通过加密邮件向OpenAI的漏洞披露邮箱报告了一个漏洞。

漏洞描述: 该漏洞允许用户窥探其他用户的聊天回复，这些回复可能包含个人数据、机密商业计划或专有代码。OpenAI已通过自动回复确认收到报告，但截至2025年7月16日，尚未收到人工跟进，且漏洞仍未修复。

漏洞证据: 泄露的回复显示出真实对话的迹象，如上下文相关的回复、引用原始用户问题、多种语言以及连贯的对话流程。最有力的证据是，其中一个回复包含了对一家位于小国的非拉丁名称公司的准确财务分析，而ChatGPT在没有网络工具的情况下无法提供相同的信息，证明该回复来自真实用户会话。

报告渠道选择: 选择通过官方披露邮件而非漏洞赏金平台报告此漏洞，因为后者的披露协议要求研究人员不得公开讨论发现的问题，这与更广泛的安全社区价值观不符。

披露标准: 遵循了行业标准的45天披露窗口（CERT/CC, ISO/IEC 29147），但由于漏洞仍然存在且用户处于未知风险中，因此发布了有限的非技术性披露。

主要观点: 1. 顶级模型≠成熟安全: 市场领导者可能拥有“AI驱动”的安全管道，但仍需要人工处理、复现和修复漏洞。 2. 云LLM放大隐私风险: 大型语言模型处理并生成我们数字生活的片段，单一配置错误可能导致数千条敏感对话在几秒钟内泄露。 3. 透明度建立信任: 与研究人员保持沟通、发布事后分析并快速发布修复的供应商更能保护用户并加强其平台。

用户建议: - 在官方修复或公告发布之前，避免与OpenAI模型共享敏感内容。 - 使用数据分割功能（如果可用）并清除提示中的个人标识符。 - 监控OpenAI安全页面以获取更新或缓解指南。

对OpenAI的建议: - 安排人员负责安全收件箱，并在3-5个工作日内做出回应。 - 发布明确的漏洞响应政策，包括服务级别目标（SLOs）。 - 定期进行第三方渗透测试，涵盖模型到模型的隔离和数据治理控制。 - 奖励而非忽视善意研究人员，漏洞赏金的好意是易逝的。 - 不要通过漏洞赏金门户政策限制研究人员披露问题。

结语: 研究人员表示愿意与OpenAI安全团队合作，并测试任何候选补丁。用户应谨慎行事，直到他们的私人对话得到保证。

联系方式: - github/proton/gmail/X/whatever: requilence - PGP Key: 1234 5678 9ABC DEF0 1234 5678 9ABC DEF0 1234 5678 - keybase.io/requilence

1. OpenAI的安全漏洞问题

   • 主要观点：有用户报告OpenAI存在一个安全漏洞，允许用户窥探他人的聊天记录。尽管问题已被报告，但OpenAI未采取行动修复，且由于严格的保密协议，用户无法通过漏洞赏金计划披露问题。
   • 关键引用：
     • "Reported a flaw to OpenAI that lets users peek at others' chat responses. Got an auto-reply on May 29th, radio silence since. Issue remains unpatched :("（向OpenAI报告了一个漏洞，允许用户窥探他人的聊天记录。5月29日收到自动回复，之后杳无音信。问题仍未修复。）
     • "Avoided their bug bounty due to permanent NDAs preventing disclosure even after fixes."（由于永久保密协议，即使修复后也无法披露，因此未参与他们的漏洞赏金计划。）

2. 漏洞的性质与影响

   • 主要观点：该漏洞并非来自LLM模型本身，而是由于其他不安全系统或配置错误导致的。这种漏洞可能导致大量敏感对话泄露，类似于银行或社交媒体平台的数据泄露。
   • 关键引用：
     • "A single misconfiguration can leak thousands of sensitive conversations in seconds."（一个配置错误可以在几秒钟内泄露数千条敏感对话。）
     • "The leaked responses show clear signs of being real conversations: they start with contextually appropriate replies, sometimes reference the original user question, appear in various languages, and maintain coherent conversational flow."（泄露的回复显示出明显的真实对话特征：它们以上下文相关的回复开始，有时引用原始用户问题，使用多种语言，并保持连贯的对话流程。）

3. 披露方式与责任

   • 主要观点：部分用户对披露方式表示质疑，认为如果不提供具体的漏洞细节，OpenAI可能不会重视并修复问题。同时，有用户支持拒绝使用苛刻条款的漏洞赏金平台。
   • 关键引用：
     • "Then why bother? I feel a bit cynical here, but if the goal is to get this fixed, they're not going to care unless it becomes a zero day and is given to the masses."（那为什么还要披露？我有点怀疑，如果目标是修复问题，除非它成为零日漏洞并公之于众，否则他们不会在意。）
     • "good to see more and more hackers refusing to use corporate bug bounty platforms with onerous terms"（很高兴看到越来越多的黑客拒绝使用条款苛刻的企业漏洞赏金平台。）

4. OpenAI的响应与用户态度

   • 主要观点：OpenAI对漏洞报告的沉默引发了用户的不满，部分用户分享了类似经历，指出企业在处理安全问题时缺乏透明度。
   • 关键引用：
     • "Reminds me of a time I found a serious issue with mailgun. Messaged them, no reply. Had to spam their twitter to get a response."（这让我想起我发现Mailgun的一个严重问题时，给他们发了消息，但没有回复。最后不得不通过推特轰炸才得到回应。）
     • "Thank you for sharing and reporting this."（感谢你分享并报告这个问题。）

总结：OpenAI存在一个严重的安全漏洞，可能导致用户聊天记录泄露，但该公司未采取行动修复。漏洞的性质与披露方式引发了争议，部分用户对OpenAI的响应表示不满，并质疑企业漏洞赏金计划的合理性。