警告！外网惊爆GPT-4大量API秘钥被盗，被盗账户损失超过15万美元

2025-06-08 09:24:40 | 来源: AICG工具箱

6月8日报道 | 最近有部分开发者反馈，他们通过国外某社区可以直接获取免费的ChatGPT GPT-4 API密钥，而正常来说，申请开发者API密钥是需要付费给OpenAI的。根据国外媒体透露，外国有一名黑客利用窃取的OpenAI API密钥绕过付费限制，并通过网站和专用Discord服务器免费分享被盗的高价值访问权限。这一行为引发了对OpenAI付费用户安全性的担忧。

近期发现了一件数据泄漏事件，一名黑客窃取了一个价值超过150000美元的OpenAI账户的访问权限，并向开放社区的500多名成员提供免费访问权限。他们还通过抓取一个允许协作编码项目的网站Replit上的源代码，意外发现了网站源代码里边包含OpenAI API密钥。

黑客已经使用了被盗的OpenAI API密钥有一段时间，并分享了账户使用量随时间增长的截图。最新的截图显示，本月已经使用了该价值150000美元账号里边的1039.37美元。

Replit是一家在线的协作编写代码工具的网站，用户可以在上边创建项目。但是有一些开发者会不小心将带有密钥的硬编码到直接导入他们的Repl代码中，而不是将其存储在Secrets安全编码中。

Replit网站的主管Ziniti表示，该公司会扫描项目以查找流行的API密钥类型，例**自GitHub的密钥。在被国外媒体提醒有关这个新的API密钥问题后，Ziniti表示：“后续，Replit将加入密钥扫描系统，以确保用户在不小心暴露ChatGPT的密钥时，会得到警告。”

“（AIGC）是一个稳步发展的行业，所以迟早会出现犯罪，但我对它产生问题的速度如此之快感到震惊。盗窃公司账户肯定是不好的。”一位 ChatGPT社区的成员这样说道。

黑客的心思不止于此，他们计划正在计划比盗取密钥更进一步的行动。另一个名为ChimeraGPT的Discord服务器提供“免费访问GPT-4和GPT-3.5-turbo！”的服务。此外，黑客还创建了一个网站，允许人们申请免费访问OpenAI API。具有讽刺意味的是，该黑客网站也是托管在Replit上。

综上所述，黑客窃取OpenAI API密钥的行为不仅违反法律和道德准则，还给OpenAI的付费用户和整个AI社区带来了安全风险。OpenAI应该为付费用户加强安全系统管理，加强对API密钥的保护和安全审查机制，以避免来自外部未经授权的访问和滥用。开发人员和用户在开发APP时应遵循规范的开发规则，鼓励开发人员和用户采取更负责任的工作流程。确保API密钥的安全存储和使用，共同建立安全可靠的AI环境。