北京
點擊輸入圖片描述(最多30字)OpenAI 已確認 Mixpanel 發生了一起安全事件,該事件暴露了部分 API 用戶有限的個人資料數據,同時強調聊天、憑證和支付仍是安全的。Mixpanel安全事件發生了什么事件的核心是 Mixpanel,這是 OpenAI 在 platform.openai.com 年在其 API 儀表盤中使用的第三方網絡分析提供商。2025年11月9日,一名攻擊者未經授權訪問了Mixpanel部分系統,并導出了一份分析數據集。Mixpanel在調查期間通知了OpenAI,并于11月25日分享了受影響的數據集。OpenAI于11月26日公開披露此事,并開始給受影響的開發者發郵件,將此次事件描述為供應商方的泄露,而非OpenAI基礎設施的破壞。關鍵是,OpenAI重申這“不是對其系統系統的風險”。暴露僅限于Mixpanel為分析收集的數據,而非模型提示、響應或平臺內部日志。哪些數據被泄露,誰受到影響此次泄露影響的是部分OpenAI開發者平臺 platform.openai.com 的用戶,而非普通ChatGPT賬戶。使用 chatgpt.com 或其他OpenAI產品的消費者未被列入受影響用戶名單。OpenAI表示,導出的數據集可能包含與API賬戶關聯的用戶資料信息,如賬戶提供的名稱、關聯的電子郵件地址,以及基于瀏覽器元數據的“粗略”位置,包括城市、州和國家。·API賬戶上的名稱·API賬戶的電子郵件地址·瀏覽器上的大致位置(城市、州、國家)·操作系統和瀏覽器·將網站推薦至 platform.openai.com·與API賬戶關聯的組織或用戶ID。OpenAI和外部報告都強調未被泄露的內容:被盜數據集中沒有聊天內容、提示、API請求、密碼、API密鑰、支付詳情、政府ID、會話令牌或其他敏感賬戶憑證。OpenAI的回應與加強供應商安全措施收到Mixpanel的數據集后,OpenAI將該服務從生產環境中移除,審查了暴露的數據,并開始通過電子郵件直接通知受影響的組織、管理員和用戶。該機構表示,尚未發現Mixpanel環境外的系統或信息受到影響的證據。“透明度對我們很重要,所以我們想通知您最近在我們使用的數據分析提供商Mixpanel發生的安全事件。”—— OpenAIOpenAI 在其公開的常見問題中確認已終止使用 Mixpanel,并正在其供應商生態系統中進行額外的安全審查,進一步提升所有合作伙伴和分析提供商的安全要求。“信任、安全和隱私是我們產品和使命的基礎。我們致力于透明度,并正在通知所有受影響的客戶和用戶。“——OpenAI發言人這些聲明旨在安撫開發者,表明公司將此次事故視為供應鏈故障,而非一次性故障,其他供應商可能會面臨更嚴格的訪問和數據最小化規定。點擊輸入圖片描述(最多30字)開發者面臨的釣魚風險及如何保護賬戶雖然僅暴露了分析元數據,但名稱、電子郵件、位置線索和組織ID的組合足以進行針對性的釣魚和社交工程嘗試,這些都令人信服地模擬了真實的OpenAI或API計費消息。OpenAI 呼吁受影響的開發者對意外郵件、鏈接或附件提示保持警惕,尤其是涉及 API 使用、計費、密鑰或疑似違反策略的提示。公司重申,不通過電子郵件、短信或聊天請求密碼、API 密鑰或驗證碼。·即使這些提醒涉及你的組織,也要對未經請求的安全或賬單提醒持懷疑態度。·通過仔細檢查發送方域名來驗證聲稱來自OpenAI的消息。·絕不要在官方儀表盤之外分享密碼、API密鑰或驗證碼。·在OpenAI和身份提供者賬戶上啟用多因素認證(MFA)。安全專家指出,即使是“低敏感性”字段,也可以與其他泄露信息或開源情報串聯,打造高度可信的釣魚頁面和消息,尤其是針對基于OpenAI平臺的高價值開發者或企業租戶。為什么這次供應商泄露對人工智能安全至關重要Mixpanel事件凸顯了AI公司不僅通過自身代碼暴露,還通過其產品中接線的分析、支持和基礎設施供應商。攻擊者越來越多地針對那些只存儲足夠數據以轉向更有價值系統的小型服務。該報告發布時,OpenAI還曾多次報告被盜憑證和數據泄露,公司多次表示這些問題源于用戶設備中的惡意軟件,而非直接入侵。即便如此,每一次新的事件都會增加證明供應商監管和數據最小化正在收緊而非放松的壓力。對于基于大型模型構建的開發者和企業來說,教訓很簡單:分析和遙測輔助工具是攻擊面的一部分。將哪些合作伙伴能看到哪些數據,并在每次集成中執行嚴格的安全標準,如今已成為AI風險管理的核心,而非一個“加油”的合規盒子。OpenAI的Mixpanel事件未泄露提示、API負載或支付數據,但泄露了部分API用戶和組織可識別的個人資料信息。這足以助長復雜的釣魚攻擊,試圖利用OpenAI品牌的信任。通過切斷與Mixpanel的合作,提高供應商標準,推動多因素認證和釣魚防范意識,OpenAI試圖表明它對第三方失敗的態度與直接攻擊同等重視。對于搭載其平臺的團隊來說,這再次提醒我們要加強賬戶、監控收件箱,并將分析合作伙伴視為AI安全防護的一部分,而非外部。penAI的前分析供應商Mixpanel遭到攻破,漏洞暴露了什么?
OpenAI 已確認 Mixpanel 發生了一起安全事件,該事件暴露了部分 API 用戶有限的個人資料數據,同時強調聊天、憑證和支付仍是安全的。
Mixpanel安全事件發生了什么
事件的核心是 Mixpanel,這是 OpenAI 在 platform.openai.com 年在其 API 儀表盤中使用的第三方網絡分析提供商。2025年11月9日,一名攻擊者未經授權訪問了Mixpanel部分系統,并導出了一份分析數據集。
Mixpanel在調查期間通知了OpenAI,并于11月25日分享了受影響的數據集。OpenAI于11月26日公開披露此事,并開始給受影響的開發者發郵件,將此次事件描述為供應商方的泄露,而非OpenAI基礎設施的破壞。
關鍵是,OpenAI重申這“不是對其系統系統的風險”。暴露僅限于Mixpanel為分析收集的數據,而非模型提示、響應或平臺內部日志。
哪些數據被泄露,誰受到影響
此次泄露影響的是部分OpenAI開發者平臺 platform.openai.com 的用戶,而非普通ChatGPT賬戶。使用 chatgpt.com 或其他OpenAI產品的消費者未被列入受影響用戶名單。
OpenAI表示,導出的數據集可能包含與API賬戶關聯的用戶資料信息,如賬戶提供的名稱、關聯的電子郵件地址,以及基于瀏覽器元數據的“粗略”位置,包括城市、州和國家。
·API賬戶上的名稱
·API賬戶的電子郵件地址
·瀏覽器上的大致位置(城市、州、國家)
·操作系統和瀏覽器
·將網站推薦至 platform.openai.com
·與API賬戶關聯的組織或用戶ID。
OpenAI和外部報告都強調未被泄露的內容:被盜數據集中沒有聊天內容、提示、API請求、密碼、API密鑰、支付詳情、政府ID、會話令牌或其他敏感賬戶憑證。
OpenAI的回應與加強供應商安全措施
收到Mixpanel的數據集后,OpenAI將該服務從生產環境中移除,審查了暴露的數據,并開始通過電子郵件直接通知受影響的組織、管理員和用戶。該機構表示,尚未發現Mixpanel環境外的系統或信息受到影響的證據。
“透明度對我們很重要,所以我們想通知您最近在我們使用的數據分析提供商Mixpanel發生的安全事件。”—— OpenAI
OpenAI 在其公開的常見問題中確認已終止使用 Mixpanel,并正在其供應商生態系統中進行額外的安全審查,進一步提升所有合作伙伴和分析提供商的安全要求。
“信任、安全和隱私是我們產品和使命的基礎。我們致力于透明度,并正在通知所有受影響的客戶和用戶。“——OpenAI發言人
這些聲明旨在安撫開發者,表明公司將此次事故視為供應鏈故障,而非一次性故障,其他供應商可能會面臨更嚴格的訪問和數據最小化規定。
開發者面臨的釣魚風險及如何保護賬戶
雖然僅暴露了分析元數據,但名稱、電子郵件、位置線索和組織ID的組合足以進行針對性的釣魚和社交工程嘗試,這些都令人信服地模擬了真實的OpenAI或API計費消息。
OpenAI 呼吁受影響的開發者對意外郵件、鏈接或附件提示保持警惕,尤其是涉及 API 使用、計費、密鑰或疑似違反策略的提示。公司重申,不通過電子郵件、短信或聊天請求密碼、API 密鑰或驗證碼。
·即使這些提醒涉及你的組織,也要對未經請求的安全或賬單提醒持懷疑態度。
·通過仔細檢查發送方域名來驗證聲稱來自OpenAI的消息。
·絕不要在官方儀表盤之外分享密碼、API密鑰或驗證碼。
·在OpenAI和身份提供者賬戶上啟用多因素認證(MFA)。
安全專家指出,即使是“低敏感性”字段,也可以與其他泄露信息或開源情報串聯,打造高度可信的釣魚頁面和消息,尤其是針對基于OpenAI平臺的高價值開發者或企業租戶。
為什么這次供應商泄露對人工智能安全至關重要
Mixpanel事件凸顯了AI公司不僅通過自身代碼暴露,還通過其產品中接線的分析、支持和基礎設施供應商。攻擊者越來越多地針對那些只存儲足夠數據以轉向更有價值系統的小型服務。
該報告發布時,OpenAI還曾多次報告被盜憑證和數據泄露,公司多次表示這些問題源于用戶設備中的惡意軟件,而非直接入侵。即便如此,每一次新的事件都會增加證明供應商監管和數據最小化正在收緊而非放松的壓力。
對于基于大型模型構建的開發者和企業來說,教訓很簡單:分析和遙測輔助工具是攻擊面的一部分。將哪些合作伙伴能看到哪些數據,并在每次集成中執行嚴格的安全標準,如今已成為AI風險管理的核心,而非一個“加油”的合規盒子。
OpenAI的Mixpanel事件未泄露提示、API負載或支付數據,但泄露了部分API用戶和組織可識別的個人資料信息。這足以助長復雜的釣魚攻擊,試圖利用OpenAI品牌的信任。
通過切斷與Mixpanel的合作,提高供應商標準,推動多因素認證和釣魚防范意識,OpenAI試圖表明它對第三方失敗的態度與直接攻擊同等重視。對于搭載其平臺的團隊來說,這再次提醒我們要加強賬戶、監控收件箱,并將分析合作伙伴視為AI安全防護的一部分,而非外部。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
