在账户安全领域,这类措施并非新鲜事物。例如,谷歌近十年来一直提供其“高级保护”账户安全等级。随着主流AI服务在全球迅速普及,迫切需要建立一系列基础保护措施。OpenAI表示,此次推出的高级安全模式是其本月早些时候公布的更广泛网络安全战略的一部分。
OpenAI在周四的博客中指出:“人们越来越多地依赖AI处理极具个人隐私的问题和高风险工作。随着时间推移,ChatGPT账户可能包含敏感的个人和职业信息,且处于多个连接工具和工作流程的核心位置。对于记者、民选官员、政治异见者、研究人员以及特别注重安全的人群来说,风险更高。”
启用高级账户安全的用户将不能再使用普通密码登录账户,而必须添加两个物理安全密钥或通过Passkey认证,以大幅降低钓鱼攻击成功的风险。该功能还取消了通过电子邮件和短信进行账户恢复的途径,用户必须使用恢复密钥、备份Passkey或物理安全密钥。OpenAI与Yubico合作,为高级账户安全用户提供价格更低的YubiKey套装。
关键的是,一旦用户启用高级账户安全,OpenAI的客服团队将无法协助账户恢复,因为客服不再拥有任何恢复选项的访问权限或控制权,从而防止攻击者通过社会工程学攻击客服门户尝试入侵账户。
高级账户安全还缩短了登录窗口和会话时长,用户需更频繁地重新登录设备。每当有人登录受保护账户时,系统会发出警报,并指向仪表盘以查看当前活跃的ChatGPT和Codex会话。此外,虽然OpenAI允许任何用户选择不将其ChatGPT对话用于模型训练,但对于启用高级账户安全的用户,该排除选项默认开启。
OpenAI的“网络安全可信访问”计划成员——包括网络安全专家、研究人员等——从6月1日起必须启用高级账户安全,或提交替代证明,表明其通过企业单点登录机制实施了抗钓鱼认证。
