ME News 消息,4 月 20 日(UTC+8),據動察 Beating 監測,上週五 ID 為 BugstoOai 的開發者在 OpenAI 官方開發者社區發布一份安全報告,稱發現 iOS 版 ChatGPT 訂閱校驗存在一處邏輯漏洞。報告指出的事實是:OpenAI 後端會校驗 Apple Pay 收據簽名是否合法,也會校驗請求中的 OpenAI auth token 是否有效,但未比對購買收據的 Apple ID 與領取 Plus 的 OpenAI 帳號是否屬於同一人。報告將當前授權邏輯總結為「合法收據 + 有效 token = 開通 Plus」,並比喻為店員只驗小票真假、不看持票人證件。受影響的是 ChatGPT iOS 應用(報告作者註明已在 v1.2026.xx 版本測試)與後端接口 `/backend-api/subscription/upgrade`。報告同時提供緩解建議:將收據綁定至購買者身份、對收據實施單次使用強制、加入 Apple ID 與 OpenAI 帳號的指紋關聯、監控同一 transaction_id 跨帳號出現的情況。英文貼文僅提供高層步驟,並稱完整復現細節依照「負責任披露」原則不予公開。該貼文末尾標註一篇中文文章為原文(linux.do/t/topic/1981747),中文版則直接說明利用路徑:使用土耳其區 Apple ID 購買 Plus(月費 499 里拉),透過 mitmproxy 等本地代理攔截 ChatGPT 應用發往 OpenAI 的收據,再用該收據反覆調用訂閱接口為不同帳號開通 Plus;作者稱閒魚上低價 ChatGPT Plus 代充的來源即為此路徑。OpenAI 至今未在論壇或其他渠道對此報告作出回應。討論區亦有用戶質疑內容由 AI 生成,且無可復現證據。報告未提供完整 PoC,亦無第三方安全研究員獨立驗證,目前僅能視為一份待查證的爆料。(來源:BlockBeats)
iOS ChatGPT Plus 訂閱漏洞允許重複使用收據於多個帳戶
KuCoinFlash分享
精華摘要
一名開發者發現 iOS ChatGPT Plus 訂閱系統存在安全漏洞,允許重複使用 Apple Pay 收據於多個帳戶。該問題位於 `/backend-api/subscription/upgrade` 端點,系統未檢查 Apple ID 是否與 OpenAI 帳戶匹配。這可能解釋了為何在轉售平台上出現低價 Plus 訂閱。OpenAI 尚未回應,且目前無概念驗證可用。此漏洞引發 CFT 關注,並突顯加密貨幣與金融科技領域中風險資產的潛在風險。
來源:顯示原文
免責聲明:本頁面資訊可能來自第三方,不一定反映KuCoin的觀點或意見。本內容僅供一般參考之用,不構成任何形式的陳述或保證,也不應被解釋為財務或投資建議。 KuCoin 對任何錯誤或遺漏,或因使用該資訊而導致的任何結果不承擔任何責任。
虛擬資產投資可能存在風險。請您根據自身的財務狀況仔細評估產品的風險以及您的風險承受能力。如需了解更多信息,請參閱我們的使用條款和風險披露 。