OpenAI 為高風險帳戶推出進階安全模式

針對擔心其 ChatGPT 和 Codex 帳戶可能成為攻擊目標的使用者，OpenAI 於週四宣布將增加一個可選的新帳戶保護層級，以提供額外的安全保障。這項名為「進階帳戶安全」（Advanced Account Security）的功能強制執行嚴格的存取控制，將使帳戶接管攻擊變得極其困難。

這類措施在帳戶安全領域並非新概念。例如，Google 提供其「進階保護計畫」（Advanced Protection）帳戶安全層級已有近十年之久。但隨著主流 AI 服務在全球迅速普及，迫切需要建立一系列基礎保護措施。OpenAI 表示，此次發布是其本月初宣布的更廣泛網路安全策略的一部分。

「人們正轉向使用 AI 來處理極其私人的問題以及日益重要的高風險工作，」該公司在週四的一篇部落格文章中表示。「隨著時間推移，ChatGPT 帳戶可能包含敏感的個人與專業背景資訊，並處於連接工具和工作流程的核心位置。對於某些人來說，如記者、民選官員、政治異議人士、研究人員以及那些對安全特別敏感的人，面臨的風險甚至更高。」

啟用進階帳戶安全的使用者將無法再對其帳戶使用一般密碼。相反地，他們必須添加兩個實體安全金鑰或通行密鑰（passkeys），以顯著降低網路釣魚攻擊成功的風險。該功能還取消了透過電子郵件和簡訊進行帳戶復原的管道。使用者必須改用復原金鑰、備用通行密鑰或實體安全金鑰。OpenAI 表示已與 Yubico 合作，為進階帳戶安全使用者提供低成本的 YubiKey 套裝組合。

至關重要的是，當使用者開啟進階帳戶安全後，他們將無法再尋求 OpenAI 支援團隊的協助來進行帳戶復原，因為支援團隊不再擁有任何復原選項的存取權或控制權。透過這種方式，攻擊者無法嘗試透過社交工程攻擊鎖定支援入口網站來入侵帳戶。

進階帳戶安全還強制縮短登入視窗和工作階段的時間，使用者必須在裝置上更頻繁地重新登入。此外，每當有人登入受保護的帳戶時，系統都會發出警報，並引導至儀表板以審查活躍的 ChatGPT 和 Codex 工作階段。此外，雖然 OpenAI 提供所有使用者可以選擇不將其 ChatGPT 對話用於模型訓練，但對於進階帳戶安全使用者，此排除選項預設為開啟。

OpenAI「網路信任存取」（Trusted Access for Cyber）計畫的成員（該計畫為網路安全專業人士、研究人員等提供新模型的進階存取權限）將被要求從 6 月 1 日起啟用進階帳戶安全，或提交替代證明，證明他們已透過企業單一登入（SSO）機制實施了防網路釣魚的身分驗證。