📣 創作者福利來啦!Gate 廣場創作者認證正式上線!
現在在 Gate 申請認證,成功通過即可享受價值 $3,000 的早鳥專屬福利!獲得專屬徽章、現金獎勵、限量週邊,更有機會登上官方榜單,享受更多曝光與特權!
申請門檻超低,只需 500 粉絲 + 積極發帖互動,你也可以成爲社區領袖!
早鳥福利:
🏆 最具影響力創作者 3 名(最多互動):50 USDT + Gate X RedBull 隨行杯+ 精選文章 5 篇
🏆 最佳內容獎 5 名(內容最佳):$50 倉位體驗券+ Gate 平沿帽 + 精選文章 5 篇
🏆 除此之外前50名成功申請者:$50 倉位體驗券
所有成功申請者均可獲得認證創作者徽章+官號 “首批認證創作者榜單” 曝光
海外用戶:Gate 平沿帽 = $20 倉位體驗券,Gate X RedBull 隨行杯 = $30 倉位體驗券
申請步驟:
1️⃣ App 首頁 → 底部進入【廣場】 → 點擊右上角頭像進入個人主頁
2️⃣ 點擊頭像右下角【申請認證】 → 進入認證頁面
3️⃣ 審核通過後,頭像旁將顯示專屬認證徽章,彰顯你的專業與權威!
🎁 專屬福利包含:身分標識、內容推薦、專屬曝光 、活動優先權 、熱門項目合作等!
立即申請,成爲廣場社區領袖,享受更多福利和機會!
詳情閱讀:https://www.gate.com/help/community-ce
用開源軟件搭建chatGPT 網站?小心別人花你的錢!
撰文:衛劍釩
自從OpenAI 提供了GPT 的API 後,很多同學用一款開源軟件搭建自己的chatGPT 網站。
這款開源軟件是chatGPT-web,網址是:
搭建好以後,界面大概就是這個樣子:
但是,如果在缺省情況下使用這個軟件,一不小心(是說你不會設置),就會被人掃描到,並且會被人無償使用。
很多網站維護者已經紛紛中招,他們發現,自己搭的chatGPT,自己還沒有怎麼用,已經被別人重度使用了,每天的API 費用都達到了好幾美元。
原因就是他的網站被人發現了,並且被很多人免費使用了。
別人是如何發現這種網站的?
互聯網上有一些網絡資產搜索引擎(有人稱其為「網絡空間測繪」),通過指定擬搜索網站的title 信息、域名信息、IP 信息、端口和協議信息、header 信息、html 正文信息、banner 信息、城市信息、證書信息等等,可以對互聯網上的信息資產進行非常便利的搜索,比如可以搜索含特定標題的網頁,搜索某軟件在互聯網的部署情況,並可做到全網的漏洞掃描。
這些引擎中最知名的有FOFA 和shodan。
使用這些搜索引擎,你能找到幾乎所有和互聯網相關聯的資產,因為這些搜索引擎,幾乎一刻不停地在互聯網上搜索著各種服務器、路由器、智能設備、攝像頭、打印機等等,這樣,用戶搜索時,就能迅速返回搜索結果。
真正可怕之處在於,很多在互聯網上網站或設備並沒有安全防禦措施,所以別人搜索到了,就可以很輕鬆地進入。
chatGPT-web 這個開源軟件,其前端首頁的Title 默認是:ChatGPT Web
那麼在資產搜索引擎裡,搜索title 是ChatGPT Web 的網站,就可以發現使用這個開源項目的網站了。
可以看到,在1 秒多的時間內,就搜索到了2 萬多個這樣的網站。
如果這些網站沒有口令保護(缺省是沒有的,除非去設置),掃描者就可以直接使用不花錢的chatGPT 了。
如何防範
其實在chatGPT-web 的README 中,說明了這個問題,只不過很多使用者把所有精力都放在了怎麼讓網站轉起來,而沒有細看這些安全說明。
如果你真的用的,現在改還來得及,畢竟,能少損失一點少損失一點。
1、在前端的index.html 文件中,將title 修改為別的,一定不要含有ChatGPT 的字樣。
2、在配置文件中,設置AUTH_SECRET_KEY,給網頁增加訪問口令。
如果是自己構建後端,在在service 目錄下的.env 文件中設置AUTH_SECRET_KEY。
如果用的是Docker Compose,在docker-compose 目錄下的docker-compose.yml 文件中設置。
加上口令驗證後,網頁就會變成這樣:
這樣就會好很多,至少可以攔截大量的一般嘗試者。
結語
所以,網站維護者一定要有最基本的安全意識,你以為別人發現不了你,其實別人早就發現你,並且利用你了。
軟件開發者則應該考慮,如何讓軟件的缺省安裝是安全的,比如讓程序自動生成不同的Title,自動生成缺省的口令等等,而不是等著用戶去設置。
你可以說,我是開源的,我沒有這義務,你用不好是你自己的事,但是,如果你做的好,你的聲譽會很好。
因為使用者,往往就是傻瓜式安裝,他們懶得改任何東西。
網站可能還會有其他問題,就看攻擊者是不是有心了,此處不贅述。有興趣可以看看此文:《使用國內私人部署ChatGPT 風險分析》。