核验结论:这不是 2026 年发生的“今日突发”。OpenAI 在 2023 年 3 月 20 日因 redis-py 的 Asyncio Redis Cluster 缺陷暂停 ChatGPT;该缺陷可能让部分活跃用户看到其他活跃用户的聊天标题,极少数情况下还可能看到新会话的首条消息。同一缺陷还可能使特定九小时窗口内活跃 ChatGPT Plus 订阅者中的 1.2% 暴露部分付款资料,但完整信用卡号没有暴露。OpenAI 于 2023 年 3 月 24 日表示漏洞已修复,并称当时已不存在持续风险。

本文保留原 URL,是为了纠正已经公开的失真标题和比例解释,而不是把三年前的事故重新包装成新新闻。核心事故事实依据 OpenAI 的2023 年 3 月 20 日 ChatGPT 故障报告;当前账号、训练、共享和企业数据设置复核日期为 2026 年 7 月 16 日。如果你正在建立更广泛的 AI 风险核验方法,可同时阅读AI 安全传闻事实核验案例和AI 智能体权限与治理指南。
| 时间 | 公开事实 | 读者应怎样理解 |
|---|---|---|
| 2023-03-20 01:00 PT 左右 | OpenAI 的服务变更导致 Redis 请求取消量激增 | 请求取消放大了 redis-py 异步连接复用缺陷出现的概率 |
| 同日 | 部分活跃用户可能看到其他活跃用户的聊天标题;极少数新会话首条消息也可能错配 | 公开报告没有把全部聊天正文或全部账号描述为可见 |
| 01:00–10:00 PT | 特定操作可能显示另一位活跃 Plus 用户的部分订阅付款资料 | 1.2% 只针对这一窗口内活跃 Plus 订阅者的潜在支付信息暴露范围 |
| 发现后 | OpenAI 将 ChatGPT 下线,修复缺陷并逐步恢复服务与聊天历史 | 部分小时的聊天历史当时没有恢复 |
| 2023-03-24 | OpenAI 公布调查、技术根因、影响字段与修复动作 | 这是本文事实判断的主要一手材料 |
旧稿把文章发布日期写成 2026 年 4 月,又使用“北京时间今日凌晨”,会使读者误以为 OpenAI 刚确认了一起新事故。正确写法必须同时给出事件发生日期与资料复核日期:前者是 2023 年 3 月,后者是本文核对当前设置的 2026 年 7 月。
| 数据或场景 | OpenAI 报告的范围 | 不能夸大的地方 |
|---|---|---|
| 聊天标题 | 部分活跃用户可能看到另一位活跃用户的历史聊天标题 | 官方没有把这一范围量化为 1.2% |
| 新会话首条消息 | 若两位用户同时活跃,首条消息可能出现在他人的聊天历史中 | 报告使用“possible”,不能写成大量完整对话已公开 |
| 姓名、邮箱、付款地址 | 在特定九小时窗口查看订阅管理页面时可能错配显示 | 仅涉及活跃 Plus 用户及特定操作路径 |
| 卡类型、后四位、到期日 | 订阅确认邮件或订阅管理页面中可能可见 | 后四位不是完整卡号 |
| 完整信用卡号 | OpenAI 明确表示任何时候都没有暴露 | 不能用“支付信息泄露”暗示完整卡号已公开 |
| 密码、API Key、身份证件 | 该事故报告没有列为此次缺陷暴露字段 | 不代表用户可以在任何 AI 对话中安全提交这些秘密 |
OpenAI 表示,真正被其他人看到数据的用户数量“极低”,并向支付资料可能受到影响的用户发送了通知。这里应保留两个层次:理论上可能受到影响的范围与确认实际被他人看到的数量不是一回事;公开材料没有提供一个可供本站重新计算的最终人数。
| 旧稿写法 | 问题 | 修正后的表述 |
|---|---|---|
| “今日凌晨确认” | 把 2023 年事故伪装成 2026 年突发 | 事件发生于 2023-03-20,公开报告发布于 2023-03-24 |
| “1.2% 的 Plus 用户可能看到他人聊天标题” | 把支付资料潜在影响比例套到了聊天标题 | 1.2% 对应特定窗口内活跃 Plus 用户的支付资料潜在暴露范围 |
| 使用引号声称摘自 OpenAI | 旧稿引语不是官方页面可逐字核对的原句 | 改为近源转述并链接事故报告,不伪造直接引语 |
| “检查当时聊天历史即可确认” | 历史列表未必能证明当时是否被另一用户短暂看到 | 以官方通知、账号异常、账单和共享记录为证据,不作无法验证的自检承诺 |
纠错并不意味着这起事件不严重。跨用户数据隔离失败属于重要的隐私和安全问题;准确描述影响范围,恰恰能帮助用户采取合适动作,而不是被“所有聊天和银行卡全部泄露”之类夸张标题带偏。
根据 OpenAI 的技术说明,ChatGPT 当时使用 Redis 缓存用户信息,并通过 Redis Cluster 分担负载;Python 服务使用 redis-py 与 Redis 通信,异步客户端会复用连接池。一次请求被取消后,如果请求已经进入发送队列、但响应尚未从接收队列取出,连接就可能带着尚未消费的响应回到池中。下一次不相关请求复用该连接时,可能读到前一个请求留下的数据。
| 链路阶段 | 正常行为 | 缺陷出现时 | 为什么多数情况只是报错 |
|---|---|---|---|
| 请求入队 | 调用方发送 Redis 请求 | 请求已发送后被取消 | 发送与接收状态失去同步 |
| 响应出队 | 同一调用方取回对应响应 | 响应留在连接中未被原调用方取走 | 遗留数据通常不符合下一请求预期类型 |
| 连接复用 | 清洁连接返回池中 | 带残留响应的连接被另一请求复用 | 类型不匹配时会产生不可恢复错误 |
| 错误数据被接受 | 返回当前用户的数据 | 少数残留数据碰巧符合预期结构,看起来像有效结果 | 只有这种少数情况才会形成跨用户可见 |
OpenAI 说明该缺陷只出现在 redis-py 的 Asyncio Redis Cluster 客户端,并已修复。公司还增加了缓存数据与请求用户匹配的冗余检查,检查日志确认消息归属,关联多类数据识别受影响用户,改善日志和 Redis 集群在高负载下的稳健性。对工程团队而言,这个案例说明:缓存命中并不等于授权通过,跨租户系统仍需要在返回数据前执行独立的主体绑定检查。类似的生产验证方法可参考站内代码补丁与回归验证指南。
| 风险类型 | 典型现象 | 责任边界 | 首要动作 |
|---|---|---|---|
| 产品跨用户事故 | 未授权用户看到属于另一用户的数据 | 服务提供方的隔离、缓存、权限与通知 | 查看官方事故说明和通知,保存证据,停止敏感输入 |
| 账号接管 | 陌生会话、登录、账单、设置或 API 使用 | 密码、邮箱、会话、MFA 与设备安全共同决定 | 保护邮箱,改密,启用 MFA/Passkey,退出其他设备 |
| 模型训练使用 | 消费级对话是否用于改进模型 | 产品设置与适用条款 | 在 Data Controls 关闭模型改进或选用默认不训练的业务方案 |
| 共享链接 | 持有 URL 的任何人能查看会话快照 | 用户主动生成和传播链接 | 检查 Settings → Data Controls → Shared links 并撤销不需要的链接 |
| GPT/App 第三方动作 | 输入被发送到外部服务执行动作 | OpenAI 与第三方接收者各自政策 | 发送前核对权限、字段、接收方和保留规则 |
OpenAI 的Data Controls FAQ说明,个人用户可关闭“Improve the model for everyone”,对话仍可保留在历史中,但不用于改进模型。模型改进数据说明进一步区分消费级服务与业务/API 产品。这个设置解决的是训练使用,不会撤销已经创建的共享链接,也不能修复账号已被他人控制的问题。
| 检查项 | 操作与判断 | 能降低什么风险 | 不能保证什么 |
|---|---|---|---|
| 模型改进 | Settings → Data Controls,按需要关闭 Improve the model for everyone | 新对话不用于改进模型 | 不等于删除历史或撤销第三方已收到的数据 |
| Temporary Chat | 对一次性、无需历史与记忆的任务使用临时聊天 | 不进入历史、不创建记忆、不用于训练 | OpenAI 可能为安全保留副本最多 30 天;第三方动作可能保留更久 |
| 共享链接 | Settings → Data Controls → Shared links,删除不再需要的链接 | 阻止链接继续打开原会话快照 | 无法删除别人已经导入其历史的副本 |
| MFA | 在 Security 中启用可用的多因素认证方式 | 降低仅凭密码登录的风险 | 启用 MFA 不会自动退出已经登录的会话 |
| Passkey | 设备和账号可用时添加通行密钥 | 降低钓鱼和密码复用风险 | 仍需保护设备解锁、邮箱和恢复方式 |
| 数据导出 | 需要取证或离开服务前申请导出 | 核对历史、共享内容与账号数据 | 导出不是实时安全监控,也不证明没有短暂暴露 |
Temporary Chat FAQ明确说明临时聊天不会出现在历史中,也不会用于改进模型,但出于安全目的可能保留副本最多 30 天;如果 GPT 使用 actions,发送给第三方的数据受接收方隐私政策约束。也就是说,“临时”只描述 ChatGPT 侧的特定处理,不是对所有外部系统的统一删除承诺。
账号保护方面,OpenAI 提供MFA 设置说明和Passkey 指南。MFA 启用后不会自动退出已有会话,因此怀疑账号被控制时,还需要主动退出所有设备,并先确保注册邮箱没有同时失守。不要把验证码、恢复码、API Key 或完整支付资料粘贴进任何聊天。
ChatGPT 的共享链接说明指出,任何取得链接的人都能查看所分享的会话快照;目前没有细粒度访问权限和链接到期时间。删除原会话或共享链接后,原链接将无法继续访问,但如果他人已经把会话导入自己的聊天历史,删除链接不会删除该副本。
| 常见误解 | 实际边界 | 正确动作 |
|---|---|---|
| “链接只有指定同事能看” | 链接可被继续转发,持链接者即可访问 | 分享前移除敏感内容,必要时改用组织内受控文档 |
| “关闭训练会删除共享链接” | 关闭训练不会自动删除已有共享链接 | 进入 Shared links 单独管理 |
| “删除链接能回收所有副本” | 已导入到他人历史的副本可能仍存在 | 把链接视为已向外部披露,分享前完成脱敏 |
| “链接没有我的姓名,所以内容安全” | 对话正文自身可能包含身份、客户或项目线索 | 逐段检查正文,而不是只看账号名称 |
团队应把共享链接当成公开范围不确定的外发内容,而不是私密协作权限。涉及内部资料时,应先建立数据分级、允许输入范围和审批记录;站内的AI 知识与工作流治理指南给出了来源、权限、版本和审计的基本框架。
| 情形 | 立即动作 | 保留证据 | 避免 |
|---|---|---|---|
| 收到可能受影响通知 | 从官方域名独立进入账号,不点击可疑邮件中的登录链接;核对通知字段和时间 | 完整邮件头、通知截图、时间与账号 | 在社交平台公开姓名、地址或卡后四位 |
| 看到不属于自己的聊天或资料 | 停止继续查看和传播,记录最少必要证据并向官方支持报告 | 时间、页面、错误表现;遮盖他人数据 | 下载、转发或尝试扩大访问 |
| 账号出现陌生会话或设置 | 先保护邮箱,再改密、启用 MFA/Passkey、退出其他设备 | 登录提醒、账单、会话时间和设备信息 | 只删除陌生会话却不处理账号入口 |
| 支付资料可能暴露 | 联系发卡机构核对异常交易并按其建议处置 | 交易时间、商户、通知和工单编号 | 把完整卡号或验证码发给所谓“客服” |
| 企业数据被提交 | 通知安全、隐私与法务责任人,冻结相关共享或连接器,评估数据范围 | 输入、接收者、权限、保留期和删除请求 | 私下删记录导致审计链消失 |
需要核对账号中保存了什么时,可使用 OpenAI 的数据导出说明;需要提出访问、删除或不用于训练等请求时,可查看OpenAI Privacy Portal和当前隐私政策。不同请求、地区和法律基础可能对应不同处理流程,本文不替代法律意见。
| 控制层 | 最低要求 | 验收证据 | 失败停止线 |
|---|---|---|---|
| 数据分级 | 明确公开、内部、机密、受监管和禁止输入数据 | 分类规则、示例、培训和抽查结果 | 员工无法判断哪些内容能提交 |
| 产品与合同 | 区分个人版、Business、Enterprise、Edu 与 API 的数据处理规则 | 合同、设置截图、管理员配置和复核日期 | 把个人账号默认当作企业受控空间 |
| 身份与设备 | 组织账号、MFA/SSO、成员生命周期和设备安全 | 成员清单、登录策略、离职回收记录 | 共享账号或离职用户仍可访问 |
| Apps 与连接器 | 逐项批准接收者、权限、字段、保留和删除路径 | 连接器清单、OAuth 范围和数据流图 | 第三方可以读取超出任务需要的数据 |
| 日志与响应 | 定义异常报告、证据保存、通知、删除与恢复流程 | 演练记录、工单、责任人和恢复时间 | 发生事件后只能依赖个人截图追查 |
| 输出执行 | 付款、发送、改权限和生产变更必须人工审批或可回滚 | 审批日志、最小权限、沙箱与回滚演练 | 模型回答可直接触发不可逆动作 |
OpenAI 当前业务数据隐私与安全页面称,ChatGPT Enterprise、Business、Edu 及 API 的输入与输出默认不用于训练模型;Security and Privacy 页面列出组织级安全与合规入口。ChatGPT Enterprise 说明还涉及集中管理、身份和数据控制。企业不能只引用厂商页面,还应把实际套餐、管理员配置、连接器和地区要求写进自己的风险登记。
如果业务需要在本地与云端之间选择数据边界,可继续查看本地 AI 与云端 AI 决策指南;若需要把安全要求转成可复测的评测集,可参考AI 产品证据与风险评估方法。提示词不能替代权限与审计,相关任务合同写法见Prompt Engineering 工程指南。
这一底线既适用于 ChatGPT,也适用于其他云端 AI 工具。即使服务没有发生事故,账号接管、错误分享、第三方动作和内部误用仍可能造成暴露。针对高权限编码工具,还应参考Claude Code 权限与安全操作指南中的只读、写入、命令执行和凭据隔离原则。
没有这样的官方结论。OpenAI 报告的是部分活跃用户可能看到其他活跃用户的聊天标题,极少数情况下可能看到新会话首条消息;不能改写成所有历史聊天正文被公开。
不是。1.2% 指特定九小时窗口内活跃 ChatGPT Plus 订阅者的支付相关信息可能被意外显示的范围。官方没有用同一比例量化聊天标题暴露。
OpenAI 明确表示完整信用卡号在任何时候都没有暴露。可能可见的字段包括卡类型、后四位和到期日,以及部分姓名、邮箱和付款地址。
关闭“Improve the model for everyone”会让对话不再用于改进模型,但聊天仍可保留在历史中。删除历史、共享链接、账号或向隐私门户提出请求是不同操作,不能互相替代。
不是。OpenAI 说明临时聊天不进入历史、不创建记忆、不用于训练,但出于安全目的可能保留副本最多 30 天;发送给 GPT actions 等第三方的数据可能按接收方政策保留更久。
怀疑账号被接管时需要。OpenAI 的帮助文档提醒,启用 MFA 不会自动退出现有会话;应在保护邮箱和恢复方式后,主动退出所有设备并检查账单与异常会话。
编辑主体:兰塞 AI 编辑流程;事实复核:2026 年 7 月 16 日;事件日期:2023 年 3 月 20 日。旧稿把历史事故写成“今日突发”,误将支付资料潜在影响的 1.2% 套到聊天标题,并使用无法逐字核对的官方引语。本次 A 级重写依据 OpenAI 事故报告和当前帮助中心,重建时间线、影响字段、Redis 根因、五类数据风险、个人处置与企业治理,并新增两张原创信息图。本站来源、更新和纠错原则见关于本站与编辑规范。