据报道，人工智能聚合器OmniGPT Inc.遭到入侵，一名黑客在一个知名黑客论坛上发布了超过3400万条用户对话记录，以及3万封用户电子邮件和电话号码。

作为一个聚合平台，OmniGPT充当中介，允许用户访问来自多家公司的AI和大型语言模型，如OpenAI的ChatGPT、Google LLC的Gemini、Anthropic PBC的Claude等。对于那些希望尝试和使用不同模型而无需为每个模型单独订阅的用户来说，这种聚合模式变得相当受欢迎。

声称窃取数据的黑客在臭名昭著的黑客网站Breach Forums上使用“Gloomer”这个名字，美国联邦调查局曾试图关闭该网站，例如在2024年5月。该网站以某种形式重新出现。

“此次泄露包含该网站用户与聊天机器人的所有消息，以及用户上传文件的所有链接，还有3万封用户电子邮件，”Gloomer在网站上写道。“你可以在消息中找到很多有用的信息，比如API密钥和凭证。上传到该网站的许多文件非常有趣，因为有时它们包含凭证/账单信息。”

具体的入侵方式尚未披露，但据研究人员在Hackread.com的报道，泄露的数据包括用户与聊天机器人之间交换的消息和上传文件的链接，其中一些包含凭证、账单信息和API密钥。还发现了用户在对话中与聊天机器人共享的超过8000个电子邮件地址。

泄露的数据还包括存储在OmniGPT服务器上的文档的文件上传链接，这些文档可能包含PDF和文档格式的敏感信息，这也表明数据确实是从OmniGPT窃取的。公司尚未对此发表评论。

“如果得到证实，这次OmniGPT的入侵表明，即使是使用前沿技术如生成式AI的从业者也可能被渗透，行业最佳实践如应用安全评估、认证和验证应得到遵循，”应用安全解决方案公司Black Duck Software Inc.的高级研发经理Andrew Bolster通过电子邮件告诉SiliconANGLE。“但对这些用户来说，可能最令人不安的是他们与这些聊天机器人的深度私人和个人‘对话’的性质；聊天机器人经常被用作‘人工倾诉对象’来处理人们正在解决的亲密个人、心理或财务问题。”

API安全公司Salt Security Inc.的网络安全战略总监Eric Schwake警告说，涉及OmniGPT的报告数据泄露虽然尚待官方确认，但用户信息和对话记录的可能暴露——包括API密钥和凭证等敏感项目——突显了在AI平台中实施强大安全措施的紧迫性。

他补充说，“如果得到验证，这一事件将揭示与AI交互中用户数据存储和处理相关的风险。创建和部署AI聊天机器人的组织必须在整个生命周期中优先考虑数据保护，确保安全存储、实施访问控制、使用强加密并进行定期安全评估。”