OpenAI 宣布为 ChatGPT 用户推出一项名为“高级账号安全”(Advanced Account Security,AAS)的新安全计划,标志着该公司开始更系统地强化账号防护。 这一功能为可选开启,面向“高价值目标用户”设计,但理论上任何愿意提高账号安全级别的用户都可以使用。
作为该计划的一部分,数字安全公司 Yubico 宣布与 OpenAI 建立合作,将两款全新的硬件安全密钥直接绑定到 ChatGPT 账号体系中,用于抵御日益严重的网络钓鱼威胁。 Yubico 表示,此次合作旨在帮助用户防范通过钓鱼手段窃取聊天机器人账号的攻击场景。
两家公司将推出一对“联合品牌”的 YubiKey 产品,分别命名为 YubiKey C NFC 和 YubiKey C Nano。 OpenAI 表示,AAS 特别适用于政治异议人士、记者、研究人员以及民选官员等从事高风险、政治敏感工作的群体,同时也适合企业用户保护其在 ChatGPT 会话中保存的商业机密。 Yubico 首席执行官 Jerrod Chong 在宣布合作的新闻稿中称,“我们的目标是大幅降低全球范围内 OpenAI 账号遭到未经授权访问的风险。”
所谓安全密钥,是可与数字账号绑定的小型硬件设备,一般通过电脑的 USB 接口使用。 每一枚密钥内部都存有独一无二的密码学标识,只有实际持有该设备的人才能完成对应账号的登录,从而在密码之外再加一道强有力的物理防线。
尽管对许多普通用户而言,“ChatGPT 账号被钓鱼”这一风险听上去仍然有些抽象,但已有越来越多研究和报道显示,网络犯罪分子正在把目光投向聊天机器人平台。 由于大量用户会在对话中暴露敏感商业信息或私人细节,这些会话内容一旦落入不法分子之手,就可能成为勒索、诈骗或进一步攻击的素材。
数字安全也正在成为整个 AI 行业的新焦点。 几周前,Anthropic 刚刚发布了名为 Mythos 的网络安全模型,试图在攻防两端探索 AI 的应用。 为了不在这一议题上落于人后,OpenAI 近期也连续发布多项与网络防御相关的举措,包括推出一套面向“智能时代”的数字安全框架,而这次与 Yubico 的合作则是其安全战略的最新一环。
当然,启用硬件安全密钥虽然能显著提升账号安全性,却也带来实际使用中的权衡:一旦用户遗失密钥,OpenAI 将无法帮助其找回账号访问权限。 换言之,绑定安全密钥的账号一旦“钥匙在现实世界丢失”,相应的 ChatGPT 会话记录和账号数据也可能永久消失。