OpenAI 近日宣布,为其 ChatGPT 和 Codex 账户推出一项名为“高级账户安全”(Advanced Account Security)的全新可选保护层,旨在为担心账户可能成为攻击目标的用户提供更强的防护。此功能通过实施严格的访问控制,显著提高了账户被劫持的难度。
尽管此类安全措施在账户安全领域并非新概念(例如,谷歌的“高级保护”已推出近十年),但随着主流 AI 服务在全球范围内的迅速普及,建立一系列基础保护变得日益紧迫。OpenAI 表示,此举是其本月初公布的更广泛网络安全战略的一部分。
OpenAI 在一份博客文章中指出:“人们正在将 AI 用于高度个人化的问题和日益重要的工作。随着时间推移,ChatGPT 账户可能积累敏感的个人和专业信息,并成为连接工具和工作流程的核心。对于某些特定人群,如记者、民选官员、政治异议人士、研究人员以及那些特别注重安全的用户来说,风险尤其高。”
启用“高级账户安全”的用户将不能再使用常规密码。取而代之的是,他们必须绑定至少两个物理安全密钥或通行密钥(passkeys),以大幅降低钓鱼攻击成功的风险。此外,该功能还取消了通过电子邮件和短信进行账户恢复的途径。用户必须使用恢复密钥、备用通行密钥或物理安全密钥来执行账户恢复。OpenAI 已与 Yubico 合作,为“高级账户安全”用户提供价格更低的 YubiKey 捆绑包。
一个关键的考量是,当用户开启“高级账户安全”后,他们将无法再向 OpenAI 的支持团队寻求账户恢复帮助。这是因为在这种模式下,支持团队不再拥有或控制任何恢复选项。这样做能有效防止攻击者通过社会工程手段针对支持门户来尝试入侵账户。
“高级账户安全”模式还会强制缩短登录窗口和会话时长,用户需要更频繁地在设备上重新登录。同时,每当账户被登录时,系统会生成警报,并指向仪表盘供用户审查活跃的 ChatGPT 和 Codex 会话。另外,虽然 OpenAI 提供了让任何用户选择不将其 ChatGPT 对话用于模型训练的选项,但对于“高级账户安全”用户,此排除项将默认开启。
自 6 月 1 日起,OpenAI “网络安全信任访问计划”(Trusted Access for Cyber program)的成员将被要求启用“高级账户安全”功能,或者提供其通过企业单一登录(SSO)机制实现防钓鱼认证的替代证明。