近日,OpenAI对外证实,其部分应用程序接口(API)用户的账户数据可能已经泄露,起因是其合作的第三方网络分析服务提供商Mixpanel遭遇了一次网络攻击。OpenAI已于收到Mixpanel通知后,立即停止了在该生产环境中使用Mixpanel的服务。
此次安全事件于2025年11月9日被Mixpanel发现,攻击者未经授权访问了其部分系统,并导出了包含有限客户身份信息及分析数据的数据集。Mixpanel于11月25日将受影响的数据集分享给OpenAI。 OpenAI强调,本次事件并未对其自身系统构成侵犯,因此使用ChatGPT及其他核心产品的用户并未受到影响。
然而,受Mixpanel网络攻击影响,部分OpenAI API用户的账户信息面临潜在泄露风险。这些可能泄露的信息包括API账户上提供的名称、关联的电子邮件地址、大致的位置信息(如城市、州、国家)、访问所使用的操作系统与浏览器详情、引荐网站,以及相关的组织或用户ID。 OpenAI明确指出,被窃取的数据不包含用户的聊天记录、API请求、API使用数据、账户密码、凭证、API密钥、支付信息或政府颁发的身份证明文件。
为应对此次事件,OpenAI已将Mixpanel从其生产服务中移除,并对受影响的数据集进行了全面审查。公司目前正直接通知所有受影响的组织、管理员及个人用户。 此外,OpenAI承诺将对其所有供应商生态系统进行更广泛的安全审计,并提高对所有第三方合作伙伴的安全要求。 公司建议用户保持警惕,谨防潜在的钓鱼或社会工程学攻击,并鼓励用户启用多因素认证以增强账户安全性。
