一位软件工程师发现 OpenAI 的 Mac 版 ChatGPT 应用程序以纯文本形式保存聊天内容。这就是发生的事情。
如果您错过了,ChatGPT Mac 应用程序已于一周前向所有用户发布。佩德罗·何塞·佩雷拉·维埃托发表他在 Threads 上的发现表明,流行的聊天机器人的桌面应用程序正在以纯文本格式在本地存储上存储用户与聊天机器人的对话。
推荐阅读:
Mac 版 ChatGPT 以纯文本形式存储对话
这位安全爱好者指出,自 6 年前发布 macOS Mojave 10.4 以来,macOS 一直在阻止其他应用程序窥探用户数据。 Vieito 指出,如果相关应用程序被沙盒化,macOS 不应允许其他应用程序访问聊天内容。更具体地说,ChatGPT 的 Mac 应用程序将数据保存在以下不受保护的位置:~/Library/Application Support/com.openai.chat/conve…{uuid}/
研究人员创建了一个特殊的工具来获取数据,并表示他在没有应用程序或操作系统任何特殊权限的情况下成功提取了聊天内容。因此理论上,任何应用程序(包括恶意软件或攻击者)都可以在未经用户许可的情况下访问 ChatGPT 聊天记录。 OpenAI 承认其应用程序没有对数据进行加密。这可能看起来令人震惊,但是边缘据报道,该问题已在 ChatGPT macOS 应用程序的更新中得到修复。
至于为什么该应用程序没有使用沙箱,那是因为 OpenAI 通过自己的网站分发 Mac 版 ChatGPT 应用程序,而不是通过苹果的 Mac App Store 分发。这意味着 OpenAI 不必遵循为应用程序设置的规则,在这种情况下,它不需要满足沙箱应用程序及其数据的要求。
这是一个大问题吗?可能不会
也就是说,我不确定这是否存在很高的安全风险。为什么?嗯,这个“漏洞”(如果你可以这样称呼它)仅适用于两种情况:如果黑客可以物理访问你的 Mac,或者你的设备已经被恶意软件感染。这些都是非常罕见的情况,如果您的设备已经受到损害,我认为您可能需要担心比 ChatGPT 的一些随机对话更重要的事情。想想看,大多数应用程序将用户数据存储在设备的本地存储上,并且它们通过将信息保存在未加密的数据库中来实现这一点,即您的浏览器、文档编辑器和其他应用程序以纯文本形式保存您的数据,因此 ChatGPT 应用程序也这样做并不是什么大不了的事。许多媒体都忽略了这条信息,结果有点危言耸听。
不要误会我的意思,我并不是在为 OpenAI 或这里的任何公司辩护。实际上,我更担心聊天机器人的使用带来的隐私风险,因为这些服务可以而且将会使用您的数据来训练他们的语言模型。有传言称,除了 OpenAI 作为 iOS 18、iPadOS 18 和 macOS 18 的一部分之外,苹果还致力于将 Google Gemini 引入 iPhone、iPad 和 Mac。