Cointime

扫码下载App
iOS & Android

用开源软件搭建 chatGPT 网站?小心别人花你的钱!

如果在缺省情况下使用 chatGPT-web 这个软件,一不小心就会被人扫描到,并且会被人无偿使用。

撰文:卫剑钒

自从 OpenAI 提供了 GPT 的 API 后,很多同学用一款开源软件搭建自己的 chatGPT 网站。

这款开源软件是 chatGPT-web,网址是:https://github.com/Chanzhaoyu/chatgpt-web

搭建好以后,界面大概就是这个样子:

但是,如果在缺省情况下使用这个软件,一不小心(是说你不会设置),就会被人扫描到,并且会被人无偿使用。

很多网站维护者已经纷纷中招,他们发现,自己搭的 chatGPT,自己还没有怎么用,已经被别人重度使用了,每天的 API 费用都达到了好几美元。

原因就是他的网站被人发现了,并且被很多人免费使用了。

别人是如何发现这种网站的?

互联网上有一些网络资产搜索引擎(有人称其为「网络空间测绘」),通过指定拟搜索网站的 title 信息、域名信息、IP 信息、端口和协议信息、header 信息、html 正文信息、banner 信息、城市信息、证书信息等等,可以对互联网上的信息资产进行非常便利的搜索,比如可以搜索含特定标题的网页,搜索某软件在互联网的部署情况,并可做到全网的漏洞扫描。

这些引擎中最知名的有 FOFAshodan

使用这些搜索引擎,你能找到几乎所有和互联网相关联的资产,因为这些搜索引擎,几乎一刻不停地在互联网上搜索着各种服务器、路由器、智能设备、摄像头、打印机等等,这样,用户搜索时,就能迅速返回搜索结果。

真正可怕之处在于,很多在互联网上网站或设备并没有安全防御措施,所以别人搜索到了,就可以很轻松地进入。

chatGPT-web 这个开源软件,其前端首页的 Title 默认是:ChatGPT Web

那么在资产搜索引擎里,搜索 title 是 ChatGPT Web 的网站,就可以发现使用这个开源项目的网站了。

可以看到,在 1 秒多的时间内,就搜索到了 2 万多个这样的网站。

如果这些网站没有口令保护(缺省是没有的,除非去设置),扫描者就可以直接使用不花钱的 chatGPT 了。

如何防范

其实在 chatGPT-web 的 README 中,说明了这个问题,只不过很多使用者把所有精力都放在了怎么让网站转起来,而没有细看这些安全说明。

如果你真的用的,现在改还来得及,毕竟,能少损失一点少损失一点。

1、在前端的 index.html 文件中,将 title 修改为别的,一定不要含有 ChatGPT 的字样。

2、在配置文件中,设置 AUTH_SECRET_KEY,给网页增加访问口令。

如果是自己构建后端,在在 service 目录下的.env 文件中设置 AUTH_SECRET_KEY。

如果用的是 Docker Compose,在 docker-compose 目录下的 docker-compose.yml 文件中设置。

加上口令验证后,网页就会变成这样:

这样就会好很多,至少可以拦截大量的一般尝试者。

结语

所以,网站维护者一定要有最基本的安全意识,你以为别人发现不了你,其实别人早就发现你,并且利用你了。

软件开发者则应该考虑,如何让软件的缺省安装是安全的,比如让程序自动生成不同的 Title,自动生成缺省的口令等等,而不是等着用户去设置。

你可以说,我是开源的,我没有这义务,你用不好是你自己的事,但是,如果你做的好,你的声誉会很好。

因为使用者,往往就是傻瓜式安装,他们懒得改任何东西。

网站可能还会有其他问题,就看攻击者是不是有心了。

评论

所有评论

推荐阅读

  • Coinbase计划通过配股募资20亿美元

    据市场消息:Coinbase计划通过发行可转换债券配股募资20亿美元。

  • 8月5日午间重要动态一览

    7:00-12:00关键词:Bitsonic、Coinbase、白宫 1.特朗普发文庆祝美股大涨:这样的上涨还会有很多; 2.韩国加密货币交易所Bitsonic代表因涉嫌1亿韩元诈骗案再次入狱; 3.Coinbase CEO:美国政府将持有超过6000亿美元的比特币储备; 4.Benchmark:Coinbase盈利疲软和股价下跌“从大局来看无关紧要”; 5.Coinbase与PayPal坚持发放稳定币奖励,回应《GENIUS法案》监管争议; 6.Bitcoin Magazine CEO David Bailey计划为新政治行动委员会筹集2亿美元; 7.The ETF Store总裁:白宫正在准备一项行政命令,旨在惩罚歧视加密货币公司的银行。

  • USDC Treasury新增铸造3.16亿枚USDC

    过去 3 小时内,USDC Treasury 新增铸造 316,765,680 枚 USDC。

  • 8月5日隔夜重要动态一览

    21:00-7:00关键词:OpenMind、欧盟、降息

  • The ETF Store总裁:白宫正在准备一项行政命令,旨在惩罚歧视加密货币公司的银行

    The ETF Store总裁Nate Geraci在X平台发文表示,白宫正在准备一项行政命令,旨在惩罚那些歧视加密货币公司的银行。

  • IPO在即,灰度创始人Barry Silbert回归出任董事会主席

    Grayscale Investments 在提交保密 IPO 申请后,宣布四项高管任命并迎回创始人 Barry Silbert 担任董事会主席。新任命的高管包括:首席运营官 Diana Zhang、首席营销官拉蒙娜·波士顿 Ramona Boston、首席传讯官 Andrea Williams、首席人力资源官 Maxwell Rosenthal。四位高管都将向灰度首席执行官 Peter Mintzberg 汇报,他们均来自传统金融巨头,包括桥水基金、阿波罗全球管理、高盛和城堡投资。 Barry Silbert 于 2013 年创立灰度,于 2023 年底辞去灰度董事长一职,此次将接替 Mark Shifke 担任董事会主席,Shifke 将继续留任董事会,目前董事会成员已增至五人。公司表示正在考虑增加独立董事。 Barry Silbert 表示:「我很荣幸能够在公司乃至更广泛的数字资产生态系统的关键时刻重新加入灰度董事会。我始终坚信公司的长期定位以及引领公司前进的领导团队。」

  • SharpLink Gaming增持18,680枚以太坊,总持有498,884枚

    据链上分析师 Onchain Lens 监测,SharpLink Gaming(股票代码:SBET)今日再次增持18,680枚以太坊,价值约6,663万美元。此次增持后,该公司以太坊储备总量达到498,884枚,总价值约18亿美元。

  • Bullish向美国证交会提交IPO申请,拟募资6.29亿美元

    数字资产交易所Bullish及其子公司CoinDesk已向美国证券交易委员会(SEC)提交首次公开募股(IPO)申请。根据申请文件,Bullish计划发行2030万股,发行价区间为28-31美元/股,最高募资金额为6.29亿美元,对应公司估值约42亿美元。 Bullish业务范围包括数字资产现货交易、杠杆交易和衍生品交易,同时为稳定币发行机构提供流动性服务。财务数据显示,该公司2025年第一季度数字资产销售额达8020万美元,净亏损3.49亿美元。Bullish曾于2023年以7260万美元收购加密货币媒体平台CoinDesk。

  • 欧盟将对美国的贸易反制措施暂停6个月

    市场消息:欧盟将对美国的贸易反制措施暂停6个月

  • 去中心化操作系统 OpenMind 完成 2000 万美元融资,Pantera Capital 领投

    智能机器去中心化操作系统 OpenMind 宣布完成 2000 万美元融资,Pantera Capital 领投,Coinbase Ventures、Digital Currency Group 和 Ribbit 等参投。 据悉,这家初创公司正在开发一款名为 FABRIC 的“硬件无关”操作系统,旨在支持“智能机器融入日常生活”。该协议为支持人工智能的机器人提供了一种通信和协调的方式。