一位软件工程师发现,OpenAI的Mac Chatgpt应用程序正在用纯文本保存聊天。这是发生的事情。
如果您错过了它,Chatgpt Mac应用程序是在一周前针对所有用户发布的。 PedroJoséPereiraVieito出版他在线程上的发现是为了揭示流行的聊天机器人的桌面应用程序正在存储用户与聊天机器人进行的对话,以纯文本格式在本地存储中进行了对话。
Mac的Chatgpt正在用纯文本存储对话
安全爱好者指出,自从6年前发布的Macos Mojave 10.4以来,MACOS一直在阻止其他应用程序进入用户数据。 Vieito指出,如果有问题的应用程序是沙盒,MacOS不应允许其他应用程序访问聊天。更具体地说,Chatgpt的Mac应用程序在以下未受到保护的位置保存数据:〜/library/application support/com.openai.chat/conve…{uuid}/
研究人员创建了一个特殊的工具来获取数据,并说他在没有应用程序或操作系统的任何特殊许可的情况下成功提取聊天。因此,从理论上讲,任何应用程序,包括恶意软件或攻击者,都可以在未经用户许可的情况下访问Chatgpt聊天。 Openai承认其应用程序未加密数据的事实。这似乎令人震惊,但是边缘报告了该问题已经在Chatgpt Macos应用程序的更新中进行了修补。
至于为什么该应用不使用沙箱,那是因为OpenAI通过其自己的网站为Mac分发了Chatgpt应用程序,而不是通过Apple的Mac App Store分发它。这意味着OpenAI不必遵循针对应用程序设置的规则,在这种情况下,它不需要满足对应用程序及其数据的要求。
这是一个大问题吗?可能不是
就是说,我不确定这是高安全风险。为什么?好吧,如果可以的话,这种“漏洞”仅适用于2种情况:如果黑客可以对Mac进行物理访问,或者您的设备已经被恶意软件感染。这些是非常罕见的场景,如果您的设备已经被妥协,我认为您可能比与Chatgpt的一些随机对话更需要担心。想一想,大多数应用程序将用户数据存储在设备的本地存储上,并且通过将信息保存在未加密的数据库中,即您的浏览器,文档编辑器和其他应用程序将您的数据保存在纯文本中,因此Chatgpt应用程序也在这样做的事实也不是这么大的交易。许多媒体省略了这一信息,结果是令人恐惧的事情。
不要误会我的意思,我不是在这里捍卫Openai或任何公司。实际上,我更关心围绕聊天机器人使用的隐私风险,因为这些服务可以并且将使用您的数据来训练他们的语言模型。有传言说,除了作为iOS 18,iPados 18和macos 18的一部分,苹果还努力将Google Gemini带到iPhone,iPad和Mac上。