공동으로 코드를 작성하는 서비스를 악용하고 개발자가 눈치채지 못한 채 공개해버린 OpenAI의 API 키를 스크래핑하여 GPT-4를 무료로 사용하는 수법이 확인되었다고 Motherboard가 보고했습니다.
People Are Pirating GPT-4 By Scraping Exposed API Keys
https://www.vice.com/en/article/93kkky/people-pirating-gpt4-scraping-openai-api-keys
People Are Pirating GPT-4 By Scraping Exposed API Keys
Why pay for $150,000 worth of OpenAI access when you could just steal it?
www.vice.com
현시점에서 GPT-4 등의 대규모 언어모델을 사용하려면 OpenAI 사이트에서 계정을 만들어 신용카드를 등록해야 합니다. 계정을 만들면 AI를 사용하기 위한 고유한 API 키가 부여되므로 앱개발자는 자신의 앱에 이 키를 통합하여 AI를 활용한 앱을 개발할 수 있습니다.
API 키를 사용하면 사용량에 따라 요금이 부과되므로 OpenAI는 API 키에 대해 설명하는 페이지에서 "API 키는 비밀입니다. API 키를 다른 사람과 공유하거나 공개하지 마십시오"라고 경고하고 있습니다.
그러나 Motherboard는 타인으로부터 훔친 API 토큰을 사용하고 Discord 서버 등을 통해 다른 사람에게 무료로 기능을 제공하고 있는 사례를 발견했습니다. 도난당한 API 키 중에는 2023년 6월의 사용량이 1039.37달러(약 140만 원)에 달하는 것도 있었다고 합니다. 'Discodtehe'라는 닉네임으로 활동하는 어떤 인물은, r/ChatGPT라는 Discord 서버에서 "이렇게 엉망으로 처리해도 내 계정은 아직 정지되지 않았다"라고 공언하고 있었습니다.
이러한 API 키는 온라인 코딩 플랫폼인 Replit(Repl.it)을 통해 유출된 것으로 보입니다. Motherboard가 Discord의 채팅로그를 조사한 결과, 3월에 투고된 한 메시지는 "얼마 전 Repl.it을 스크레이핑하자 OpenAI의 API 키가 1000개 이상 발견되었다"고 보고했다는 것.
Replit에서 사용자는 'Repl'이라는 프로젝트를 만들 수 있으며 Repl은 기본적으로 게시상태입니다. Replit의 고문 변호사 겸 사업개발책임자인 세실리아 지니티 씨는 Replit에는 API 키를 취급하기 위한 'Secrets'라는 기능이 있는데 일부 사람은 실수로 토큰을 Secrets에 저장하는 대신 Repl 코드에 직접 쓰고 있습니다. 사용자는 자신의 토큰을 직접 보호할 책임이 있으며 공개 코드에 이러한 토큰을 저장해서는 안됩니다"라고 지적했습니다.
Discodtehe라는 인물은 API 키를 스크래핑할 뿐만 아니라 'GPT-4와 GPT-3.5-turbo에 무료 액세스'를 하는 Discord 서버를 공개하고 있다는 것. 또한 API 키의 무료 액세스를 요청하기 위해 사이트를 만들었다고 말했습니다.
이 사이트는 Replit에서 호스팅되었으며 현재는 액세스할 수 없습니다. 액세스가 가능했을 때 Motherboard가 해당 사이트에 액세스하면 입력란에 이메일 주소를 입력하고 OpenAI에서 보낸 링크를 클릭하여 초대를 받고 청구처를 Discodtehe가 사용하고 있다고 생각되는 조직명 'weeeeee'로 설정하도록 안내되었습니다.
Discodtehe 등이 사용하고 있던 Discord 서버의 관리자는 "자원봉사인 모더레이터가 모든 프로젝트를 체크할 수 없기 때문에 우리는 유저에게 금지령을 내고 대응하고 있습니다"고 말했습니다.
Discord 서버의 커뮤니티 멤버의 반응은 부정적인 반면 구글 클라우드 계정의 API가 도난당했다는 화제가 드물다며 구글의 API 키가 도난당하지 않는 이유는 Google이 더 나은 인증 프로세스를 갖고 있기 때문이라는 지적도 나왔습니다.
OpenAI 홍보담당자는 Motherboard와의 인터뷰에서 "우리는 큰 오픈 리포지토리의 자동 스캔을 수행하고 OpenAI의 키를 발견하는 즉시 모든 것을 취소하고 있습니다. 또한 API 키가 생성될 때 API 키를 공개하지 않기 위해 사용자에게 조언하고 사용자가 자신의 API 키를 공개했을 수 있다고 생각이 들면 즉시 키를 업데이트하라는 메시지를 표시합니다"라고 밝혔습니다.
'IT' 카테고리의 다른 글
| VPN 앱 'Swing VPN'이 이용자를 몰래 DDoS 공격에 가담시켜 (0) | 2023.06.20 |
|---|---|
| 동영상을 고품질 3D 데이터로 변환할 수 있는 기법이 등장 (0) | 2023.06.19 |
| 인텔이 12양자비트 양자컴퓨터 칩 'Tunnel Fall'을 발표 (0) | 2023.06.16 |
| 장치의 전원 LED를 비디오 촬영하여 암호화 키를 훔치는 방법 (0) | 2023.06.15 |
| 월 280만 원 상당의 기본소득을 영국이 2년간 시험도입 (0) | 2023.06.08 |
| 카드 사이즈인데 기존의 팬보다 CPU나 GPU를 식히는 '솔리드 스테이트 액티브 냉각' (0) | 2023.06.07 |
| 세계 최초의 해킹 테스트 위성 'Moonlighter' (0) | 2023.06.05 |
| 생성 AI의 비약적 성능 향상의 비밀 'Grokking' (0) | 2023.06.01 |
