苹果公司对通过沙箱保护用户数据有严格的规定,但 Mac 版 ChatGPT 在 6 月 28 日打补丁之前一直以纯文本方式存储对话,从而绕过了所有这些规定。
在 Mac 上,当一切正常运行时,应用程序之间的数据应该是孤立的,因此在没有 API 或用户许可的情况下,任何一个应用程序都无法访问另一个应用程序的数据。ChatGPT 采用无视苹果的应用政策,打破这种结构,选择退出沙箱并以纯文本方式存储用户对话。
这种存储方式使文件开放给其他 Mac 应用程序自由查找和读取。这意味着,如果用户的 Mac 感染了恶意软件或恶意应用程序,与 ChatGPT 共享的私人数据就会被随意读取。
Pereira Vieito 发现了这一问题,并在 Threads 上进行了分享。
ChatGPT for Mac 已于上周五发布更新,修补了这一问题。使用 ChatGPT 的所有数据现在都被加密隐藏起来。
OpenAI 发言人塔亚-克里斯蒂安森(Taya Christianson)在给 The Verge 的一份声明中说:"我们意识到了这个问题,并已经发布了新版本的应用程序,对这些对话进行了加密。我们致力于提供有益的用户体验,同时随着技术的发展保持我们的高安全标准。"
当一款应用被提交到 Mac App Store 或进行公证时,会经过一个审查流程,确保应用通过沙盒处理数据。这种方法可以确保应用程序只能访问自己拥有的数据,而不能访问系统中的其他数据。
OpenAI 的 Mac 版 ChatGPT 应用程序是通过网络发布的,并没有使用沙箱技术。该应用可以访问用户共享的私人数据,如电子邮件和机密记录,以执行用户要求的任何任务。
如果您已安装 ChatGPT for Mac,请确保已更新至最新版本。虽然在该应用推出后的短时间内,该漏洞可能并未被利用,但对于 OpenAI 这样的公司来说,这仍然是一个愚蠢的错误。
Mac 版 ChatGPT 应用程序与 OpenAI 与苹果的更大合作关系是分开的。秋季晚些时候,作为 macOS Sequoia 的一部分,用户可以选择向 ChatGPT 而不是 Apple Intelligence 发送一些请求。