OpenAI revient sur le dernier bug qui a touché ChatGPT en début de semaine. Un incident majeur qui a obligé la société de recherche sur l’intelligence artificielle à fermer temporairement l’accès à son chatbot pendant une dizaine d’heures.
Cette fois, elle livre plus d’informations concernant les détails techniques qui ont conduit son chatbot à dévoiler des adresses mail, des numéros de téléphone et des historiques de conversations. OpenAI vient d’annoncer que les informations de paiement de certains utilisateurs ont pu être exposées au cours de cet incident.
Problème de mise en cache
Dans un communiqué, OpenAI explique qu’un bogue survenu dans une bibliothèque open source appelée redis-py a créé un problème de mise en cache. Steam a connu ce même problème à Noël 2015. Ses utilisateurs ont reçu des pages contenant des informations provenant des comptes d’autres abonnés. Il ne s’agit donc pas d’un cas isolé. Il est étonnant que ChatGPT ait été victime d’un tel bogue, alors qu’OpenAI consacre tellement d’efforts en matière de sécurité et de sûreté.
Selon OpenAI, deux scénarios auraient pu entraîner l’exposition de ces données de paiement. Si un abonné s’est rendu sur l’écran Mon compte > Gérer l’abonnement, pendant cette période, il a pu voir affichées les informations d’un autre utilisateur de ChatGPT Plus qui utilisait le service au même moment. La firme révèle également que certains courriels de confirmation d’abonnement envoyés durant cette période ont été adressés au mauvais destinataire. Pourtant, ces mails contiennent les quatre derniers chiffres du numéro de carte de crédit de l’utilisateur.
Un bogue accidentel
OpenAI explique que le 20 mars au matin, son équipe a apporté une modification à son serveur. Ceci a accidentellement provoqué un pic de requêtes Redis annulées. L’entreprise utilise le logiciel Redis pour mettre en cache les informations personnelles des utilisateurs. Dans certains cas, une requête Redis annulée entraîne le retour de données corrompues pour une autre requête.
OpenAI indique que le bogue est apparu dans une version très spécifique de Redis. Elle précise qu’elle a apporté des modifications à son propre logiciel et à ses pratiques afin d’éviter que ce type de problème ne se reproduise. Ses ingénieurs ont donc ajouté des « vérifications redondantes » afin de s’assurer que les données exposées appartiennent bien à l’utilisateur. Cela réduit aussi la probabilité que Redis ne produise des erreurs en cas de charge élevée.