Cointime

扫码下载App
iOS & Android

用开源软件搭建 chatGPT 网站?小心别人花你的钱!

如果在缺省情况下使用 chatGPT-web 这个软件,一不小心就会被人扫描到,并且会被人无偿使用。

撰文:卫剑钒

自从 OpenAI 提供了 GPT 的 API 后,很多同学用一款开源软件搭建自己的 chatGPT 网站。

这款开源软件是 chatGPT-web,网址是:https://github.com/Chanzhaoyu/chatgpt-web

搭建好以后,界面大概就是这个样子:

但是,如果在缺省情况下使用这个软件,一不小心(是说你不会设置),就会被人扫描到,并且会被人无偿使用。

很多网站维护者已经纷纷中招,他们发现,自己搭的 chatGPT,自己还没有怎么用,已经被别人重度使用了,每天的 API 费用都达到了好几美元。

原因就是他的网站被人发现了,并且被很多人免费使用了。

别人是如何发现这种网站的?

互联网上有一些网络资产搜索引擎(有人称其为「网络空间测绘」),通过指定拟搜索网站的 title 信息、域名信息、IP 信息、端口和协议信息、header 信息、html 正文信息、banner 信息、城市信息、证书信息等等,可以对互联网上的信息资产进行非常便利的搜索,比如可以搜索含特定标题的网页,搜索某软件在互联网的部署情况,并可做到全网的漏洞扫描。

这些引擎中最知名的有 FOFAshodan

使用这些搜索引擎,你能找到几乎所有和互联网相关联的资产,因为这些搜索引擎,几乎一刻不停地在互联网上搜索着各种服务器、路由器、智能设备、摄像头、打印机等等,这样,用户搜索时,就能迅速返回搜索结果。

真正可怕之处在于,很多在互联网上网站或设备并没有安全防御措施,所以别人搜索到了,就可以很轻松地进入。

chatGPT-web 这个开源软件,其前端首页的 Title 默认是:ChatGPT Web

那么在资产搜索引擎里,搜索 title 是 ChatGPT Web 的网站,就可以发现使用这个开源项目的网站了。

可以看到,在 1 秒多的时间内,就搜索到了 2 万多个这样的网站。

如果这些网站没有口令保护(缺省是没有的,除非去设置),扫描者就可以直接使用不花钱的 chatGPT 了。

如何防范

其实在 chatGPT-web 的 README 中,说明了这个问题,只不过很多使用者把所有精力都放在了怎么让网站转起来,而没有细看这些安全说明。

如果你真的用的,现在改还来得及,毕竟,能少损失一点少损失一点。

1、在前端的 index.html 文件中,将 title 修改为别的,一定不要含有 ChatGPT 的字样。

2、在配置文件中,设置 AUTH_SECRET_KEY,给网页增加访问口令。

如果是自己构建后端,在在 service 目录下的.env 文件中设置 AUTH_SECRET_KEY。

如果用的是 Docker Compose,在 docker-compose 目录下的 docker-compose.yml 文件中设置。

加上口令验证后,网页就会变成这样:

这样就会好很多,至少可以拦截大量的一般尝试者。

结语

所以,网站维护者一定要有最基本的安全意识,你以为别人发现不了你,其实别人早就发现你,并且利用你了。

软件开发者则应该考虑,如何让软件的缺省安装是安全的,比如让程序自动生成不同的 Title,自动生成缺省的口令等等,而不是等着用户去设置。

你可以说,我是开源的,我没有这义务,你用不好是你自己的事,但是,如果你做的好,你的声誉会很好。

因为使用者,往往就是傻瓜式安装,他们懒得改任何东西。

网站可能还会有其他问题,就看攻击者是不是有心了。

评论

所有评论

推荐阅读

  • 美CFTC考虑允许期货交易所开展现货加密货币交易

    美国商品期货交易委员会(CFTC)表示,正在考虑允许在已注册的期货交易所开展现货加密货币交易,并寻求利益相关方的意见,以落实总统特朗普提出的加密货币发展目标。CFTC 代理主席 Caroline Pham 于周一发表声明称,该机构希望利益相关方协助其就如何在 CFTC 注册的期货交易所(也称为指定合约市场,DCM)上挂牌现货加密资产提供监管明确性。

  • 企业加密资产储备突破千亿美元大关

    随着企业大军涌入加密货币市场,银河研究最新报告显示:当前数字资产储备公司的比特币持仓达930亿美元,占流通总量近4%;以太坊持仓41亿美元,占比1%;资产负债表新增SOL、XRP、BNB等10种新兴加密货币;其中Strategy公司以718亿美元比特币持仓(含280亿美元浮盈)稳居榜首。

  • 巴西将举行听证会探讨建立战略性比特币储备

    巴西计划于2025年8月20日召开公开听证会,讨论建立战略性比特币储备事宜。

  • ETH跌破3600美元

    行情显示,ETH跌破3600美元,现报3597.36美元,24小时跌幅达到1.43%,行情波动较大,请做好风险控制。

  • BNB跌破750美元

    行情显示,BNB跌破750美元,现报749.9美元,24小时跌幅达到1.94%,行情波动较大,请做好风险控制。

  • CEA Industries 完成 5 亿美元私募并将更名为 BNB Network Company,YZi Labs 领投

    CEA Industries(纳斯达克:VAPE)今日宣布完成 5 亿美元私募融资,并将更名为"BNB Network Company",股票代码将于 8 月 6 日变更为"BNC"。该公司计划将所得资金用于购买 BNB,作为其主要储备资产。 此次私募由 YZi Labs 领投,吸引了包括 Pantera Capital、Blockchain.com 等超过 140 家机构参与。同时,公司任命前 Galaxy Digital 联合创始人 David Namdar 为首席执行官,前加州公务员退休基金(CalPERS)首席信息官 Russell Read 担任首席信息官。

  • Coinbase:加拿大客户可使用PayPal买卖加密货币

    Coinbase:加拿大客户可使用PayPal买卖加密货币。

  • 分析师:比特币正被视为投资组合多元化工具

    eToro分析师Lale Akoner表示,投资者越来越多地将比特币作为分散投资组合的一种方式。标准普尔500指数偏向大型科技股,尤其是英伟达,防御型股票很少。长期美国国债曾经作为一种多元化投资工具受到追捧,但最近受到了压力。她说,这意味着投资者正在寻找其他资产来保护自己的投资组合免受潜在损失。“我认为这就是为什么我们看到更多的黄金和比特币的原因。”她说,比特币仍然是一种高风险资产,但它可以很好地分散投资。

  • Galaxy 计划发行代币化股票 GLXY

    据市场消息,Galaxy 计划发行代币化股票 $GLXY,并已与 Robert Leshner 旗下 Superstate 签署 RWA 平台协议。

  • 「SOL版微策略」Upexi持仓突破200万枚SOL

    8月5日消息,Solana 财库公司 Upexi 的持仓已突破 200 万枚 SOL,当前总价值达 3.34 亿美元。在 7 月份,Upexi 完成了 2 亿美元融资,并购入超过 126 万枚 SOL,其财资规模增长了 172%。