ChatGPT 2023 数据泄露事件复盘:影响范围、Redis 漏洞与当前安全设置

AI动态与更新 发布于 2026-04-11 更新于 2026-07-16

核验结论:这不是 2026 年发生的“今日突发”。OpenAI 在 2023 年 3 月 20 日因 redis-py 的 Asyncio Redis Cluster 缺陷暂停 ChatGPT;该缺陷可能让部分活跃用户看到其他活跃用户的聊天标题,极少数情况下还可能看到新会话的首条消息。同一缺陷还可能使特定九小时窗口内活跃 ChatGPT Plus 订阅者中的 1.2% 暴露部分付款资料,但完整信用卡号没有暴露。OpenAI 于 2023 年 3 月 24 日表示漏洞已修复,并称当时已不存在持续风险。

ChatGPT 2023 数据暴露事件从 Redis 缓存错配到可能暴露字段、未暴露完整卡号和修复动作的时间线
这起事件的关键不是“AI 主动泄密”,而是缓存响应在少数情况下被错误交给了另一位活跃用户。图:兰塞 AI 编辑部原创。

本文保留原 URL,是为了纠正已经公开的失真标题和比例解释,而不是把三年前的事故重新包装成新新闻。核心事故事实依据 OpenAI 的2023 年 3 月 20 日 ChatGPT 故障报告;当前账号、训练、共享和企业数据设置复核日期为 2026 年 7 月 16 日。如果你正在建立更广泛的 AI 风险核验方法,可同时阅读AI 安全传闻事实核验案例AI 智能体权限与治理指南

2023 年 3 月 20 日到底发生了什么?

时间 公开事实 读者应怎样理解
2023-03-20 01:00 PT 左右 OpenAI 的服务变更导致 Redis 请求取消量激增 请求取消放大了 redis-py 异步连接复用缺陷出现的概率
同日 部分活跃用户可能看到其他活跃用户的聊天标题;极少数新会话首条消息也可能错配 公开报告没有把全部聊天正文或全部账号描述为可见
01:00–10:00 PT 特定操作可能显示另一位活跃 Plus 用户的部分订阅付款资料 1.2% 只针对这一窗口内活跃 Plus 订阅者的潜在支付信息暴露范围
发现后 OpenAI 将 ChatGPT 下线,修复缺陷并逐步恢复服务与聊天历史 部分小时的聊天历史当时没有恢复
2023-03-24 OpenAI 公布调查、技术根因、影响字段与修复动作 这是本文事实判断的主要一手材料

旧稿把文章发布日期写成 2026 年 4 月,又使用“北京时间今日凌晨”,会使读者误以为 OpenAI 刚确认了一起新事故。正确写法必须同时给出事件发生日期资料复核日期:前者是 2023 年 3 月,后者是本文核对当前设置的 2026 年 7 月。

哪些数据可能暴露,哪些没有?

数据或场景 OpenAI 报告的范围 不能夸大的地方
聊天标题 部分活跃用户可能看到另一位活跃用户的历史聊天标题 官方没有把这一范围量化为 1.2%
新会话首条消息 若两位用户同时活跃,首条消息可能出现在他人的聊天历史中 报告使用“possible”,不能写成大量完整对话已公开
姓名、邮箱、付款地址 在特定九小时窗口查看订阅管理页面时可能错配显示 仅涉及活跃 Plus 用户及特定操作路径
卡类型、后四位、到期日 订阅确认邮件或订阅管理页面中可能可见 后四位不是完整卡号
完整信用卡号 OpenAI 明确表示任何时候都没有暴露 不能用“支付信息泄露”暗示完整卡号已公开
密码、API Key、身份证件 该事故报告没有列为此次缺陷暴露字段 不代表用户可以在任何 AI 对话中安全提交这些秘密

OpenAI 表示,真正被其他人看到数据的用户数量“极低”,并向支付资料可能受到影响的用户发送了通知。这里应保留两个层次:理论上可能受到影响的范围确认实际被他人看到的数量不是一回事;公开材料没有提供一个可供本站重新计算的最终人数。

旧稿最重要的四处错误是什么?

旧稿写法 问题 修正后的表述
“今日凌晨确认” 把 2023 年事故伪装成 2026 年突发 事件发生于 2023-03-20,公开报告发布于 2023-03-24
“1.2% 的 Plus 用户可能看到他人聊天标题” 把支付资料潜在影响比例套到了聊天标题 1.2% 对应特定窗口内活跃 Plus 用户的支付资料潜在暴露范围
使用引号声称摘自 OpenAI 旧稿引语不是官方页面可逐字核对的原句 改为近源转述并链接事故报告,不伪造直接引语
“检查当时聊天历史即可确认” 历史列表未必能证明当时是否被另一用户短暂看到 以官方通知、账号异常、账单和共享记录为证据,不作无法验证的自检承诺

纠错并不意味着这起事件不严重。跨用户数据隔离失败属于重要的隐私和安全问题;准确描述影响范围,恰恰能帮助用户采取合适动作,而不是被“所有聊天和银行卡全部泄露”之类夸张标题带偏。

Redis 漏洞为什么会把数据交给错误用户?

根据 OpenAI 的技术说明,ChatGPT 当时使用 Redis 缓存用户信息,并通过 Redis Cluster 分担负载;Python 服务使用 redis-py 与 Redis 通信,异步客户端会复用连接池。一次请求被取消后,如果请求已经进入发送队列、但响应尚未从接收队列取出,连接就可能带着尚未消费的响应回到池中。下一次不相关请求复用该连接时,可能读到前一个请求留下的数据。

链路阶段 正常行为 缺陷出现时 为什么多数情况只是报错
请求入队 调用方发送 Redis 请求 请求已发送后被取消 发送与接收状态失去同步
响应出队 同一调用方取回对应响应 响应留在连接中未被原调用方取走 遗留数据通常不符合下一请求预期类型
连接复用 清洁连接返回池中 带残留响应的连接被另一请求复用 类型不匹配时会产生不可恢复错误
错误数据被接受 返回当前用户的数据 少数残留数据碰巧符合预期结构,看起来像有效结果 只有这种少数情况才会形成跨用户可见

OpenAI 说明该缺陷只出现在 redis-py 的 Asyncio Redis Cluster 客户端,并已修复。公司还增加了缓存数据与请求用户匹配的冗余检查,检查日志确认消息归属,关联多类数据识别受影响用户,改善日志和 Redis 集群在高负载下的稳健性。对工程团队而言,这个案例说明:缓存命中并不等于授权通过,跨租户系统仍需要在返回数据前执行独立的主体绑定检查。类似的生产验证方法可参考站内代码补丁与回归验证指南

2023 事故与今天常说的“ChatGPT 数据泄露”有什么区别?

ChatGPT 数据风险分为产品跨用户事故、账号接管、模型训练使用、共享链接和第三方动作五类,每类需要不同控制
只说“泄露”不足以决定动作:服务端隔离缺陷、账号被盗、训练设置、主动分享和第三方接收者必须分别处理。图:兰塞 AI 编辑部原创。
风险类型 典型现象 责任边界 首要动作
产品跨用户事故 未授权用户看到属于另一用户的数据 服务提供方的隔离、缓存、权限与通知 查看官方事故说明和通知,保存证据,停止敏感输入
账号接管 陌生会话、登录、账单、设置或 API 使用 密码、邮箱、会话、MFA 与设备安全共同决定 保护邮箱,改密,启用 MFA/Passkey,退出其他设备
模型训练使用 消费级对话是否用于改进模型 产品设置与适用条款 在 Data Controls 关闭模型改进或选用默认不训练的业务方案
共享链接 持有 URL 的任何人能查看会话快照 用户主动生成和传播链接 检查 Settings → Data Controls → Shared links 并撤销不需要的链接
GPT/App 第三方动作 输入被发送到外部服务执行动作 OpenAI 与第三方接收者各自政策 发送前核对权限、字段、接收方和保留规则

OpenAI 的Data Controls FAQ说明,个人用户可关闭“Improve the model for everyone”,对话仍可保留在历史中,但不用于改进模型。模型改进数据说明进一步区分消费级服务与业务/API 产品。这个设置解决的是训练使用,不会撤销已经创建的共享链接,也不能修复账号已被他人控制的问题。

个人用户现在应该检查哪些设置?

检查项 操作与判断 能降低什么风险 不能保证什么
模型改进 Settings → Data Controls,按需要关闭 Improve the model for everyone 新对话不用于改进模型 不等于删除历史或撤销第三方已收到的数据
Temporary Chat 对一次性、无需历史与记忆的任务使用临时聊天 不进入历史、不创建记忆、不用于训练 OpenAI 可能为安全保留副本最多 30 天;第三方动作可能保留更久
共享链接 Settings → Data Controls → Shared links,删除不再需要的链接 阻止链接继续打开原会话快照 无法删除别人已经导入其历史的副本
MFA 在 Security 中启用可用的多因素认证方式 降低仅凭密码登录的风险 启用 MFA 不会自动退出已经登录的会话
Passkey 设备和账号可用时添加通行密钥 降低钓鱼和密码复用风险 仍需保护设备解锁、邮箱和恢复方式
数据导出 需要取证或离开服务前申请导出 核对历史、共享内容与账号数据 导出不是实时安全监控,也不证明没有短暂暴露

Temporary Chat FAQ明确说明临时聊天不会出现在历史中,也不会用于改进模型,但出于安全目的可能保留副本最多 30 天;如果 GPT 使用 actions,发送给第三方的数据受接收方隐私政策约束。也就是说,“临时”只描述 ChatGPT 侧的特定处理,不是对所有外部系统的统一删除承诺。

账号保护方面,OpenAI 提供MFA 设置说明Passkey 指南。MFA 启用后不会自动退出已有会话,因此怀疑账号被控制时,还需要主动退出所有设备,并先确保注册邮箱没有同时失守。不要把验证码、恢复码、API Key 或完整支付资料粘贴进任何聊天。

共享链接为什么经常被误认为平台泄露?

ChatGPT 的共享链接说明指出,任何取得链接的人都能查看所分享的会话快照;目前没有细粒度访问权限和链接到期时间。删除原会话或共享链接后,原链接将无法继续访问,但如果他人已经把会话导入自己的聊天历史,删除链接不会删除该副本。

常见误解 实际边界 正确动作
“链接只有指定同事能看” 链接可被继续转发,持链接者即可访问 分享前移除敏感内容,必要时改用组织内受控文档
“关闭训练会删除共享链接” 关闭训练不会自动删除已有共享链接 进入 Shared links 单独管理
“删除链接能回收所有副本” 已导入到他人历史的副本可能仍存在 把链接视为已向外部披露,分享前完成脱敏
“链接没有我的姓名,所以内容安全” 对话正文自身可能包含身份、客户或项目线索 逐段检查正文,而不是只看账号名称

团队应把共享链接当成公开范围不确定的外发内容,而不是私密协作权限。涉及内部资料时,应先建立数据分级、允许输入范围和审批记录;站内的AI 知识与工作流治理指南给出了来源、权限、版本和审计的基本框架。

如果收到 OpenAI 通知或看到陌生数据,应该怎么处理?

情形 立即动作 保留证据 避免
收到可能受影响通知 从官方域名独立进入账号,不点击可疑邮件中的登录链接;核对通知字段和时间 完整邮件头、通知截图、时间与账号 在社交平台公开姓名、地址或卡后四位
看到不属于自己的聊天或资料 停止继续查看和传播,记录最少必要证据并向官方支持报告 时间、页面、错误表现;遮盖他人数据 下载、转发或尝试扩大访问
账号出现陌生会话或设置 先保护邮箱,再改密、启用 MFA/Passkey、退出其他设备 登录提醒、账单、会话时间和设备信息 只删除陌生会话却不处理账号入口
支付资料可能暴露 联系发卡机构核对异常交易并按其建议处置 交易时间、商户、通知和工单编号 把完整卡号或验证码发给所谓“客服”
企业数据被提交 通知安全、隐私与法务责任人,冻结相关共享或连接器,评估数据范围 输入、接收者、权限、保留期和删除请求 私下删记录导致审计链消失

需要核对账号中保存了什么时,可使用 OpenAI 的数据导出说明;需要提出访问、删除或不用于训练等请求时,可查看OpenAI Privacy Portal和当前隐私政策。不同请求、地区和法律基础可能对应不同处理流程,本文不替代法律意见。

企业使用 ChatGPT 时,事故复盘应转化成哪些控制?

控制层 最低要求 验收证据 失败停止线
数据分级 明确公开、内部、机密、受监管和禁止输入数据 分类规则、示例、培训和抽查结果 员工无法判断哪些内容能提交
产品与合同 区分个人版、Business、Enterprise、Edu 与 API 的数据处理规则 合同、设置截图、管理员配置和复核日期 把个人账号默认当作企业受控空间
身份与设备 组织账号、MFA/SSO、成员生命周期和设备安全 成员清单、登录策略、离职回收记录 共享账号或离职用户仍可访问
Apps 与连接器 逐项批准接收者、权限、字段、保留和删除路径 连接器清单、OAuth 范围和数据流图 第三方可以读取超出任务需要的数据
日志与响应 定义异常报告、证据保存、通知、删除与恢复流程 演练记录、工单、责任人和恢复时间 发生事件后只能依赖个人截图追查
输出执行 付款、发送、改权限和生产变更必须人工审批或可回滚 审批日志、最小权限、沙箱与回滚演练 模型回答可直接触发不可逆动作

OpenAI 当前业务数据隐私与安全页面称,ChatGPT Enterprise、Business、Edu 及 API 的输入与输出默认不用于训练模型;Security and Privacy 页面列出组织级安全与合规入口。ChatGPT Enterprise 说明还涉及集中管理、身份和数据控制。企业不能只引用厂商页面,还应把实际套餐、管理员配置、连接器和地区要求写进自己的风险登记。

如果业务需要在本地与云端之间选择数据边界,可继续查看本地 AI 与云端 AI 决策指南;若需要把安全要求转成可复测的评测集,可参考AI 产品证据与风险评估方法。提示词不能替代权限与审计,相关任务合同写法见Prompt Engineering 工程指南

哪些内容不应该提交给通用 AI 对话?

  • 密码、短信验证码、MFA 恢复码、Passkey 恢复信息和登录 Cookie;
  • API Key、云密钥、数据库凭据、私钥、生产环境令牌和未脱敏配置;
  • 完整银行卡号、安全码、身份证件、病历和未经授权的个人信息;
  • 客户合同、未公开财务、源代码或事件日志,除非组织已经批准对应产品、权限与处理方式;
  • 为了“让 AI 帮忙排错”而上传的完整数据集;应先缩小到可复现、去标识化的最小样本。

这一底线既适用于 ChatGPT,也适用于其他云端 AI 工具。即使服务没有发生事故,账号接管、错误分享、第三方动作和内部误用仍可能造成暴露。针对高权限编码工具,还应参考Claude Code 权限与安全操作指南中的只读、写入、命令执行和凭据隔离原则。

常见问题

2023 年事件是否泄露了所有用户的完整聊天记录?

没有这样的官方结论。OpenAI 报告的是部分活跃用户可能看到其他活跃用户的聊天标题,极少数情况下可能看到新会话首条消息;不能改写成所有历史聊天正文被公开。

1.2% 是否代表 1.2% 的用户看到了别人的聊天?

不是。1.2% 指特定九小时窗口内活跃 ChatGPT Plus 订阅者的支付相关信息可能被意外显示的范围。官方没有用同一比例量化聊天标题暴露。

完整信用卡号是否暴露?

OpenAI 明确表示完整信用卡号在任何时候都没有暴露。可能可见的字段包括卡类型、后四位和到期日,以及部分姓名、邮箱和付款地址。

现在关闭训练,能否删除以前的聊天?

关闭“Improve the model for everyone”会让对话不再用于改进模型,但聊天仍可保留在历史中。删除历史、共享链接、账号或向隐私门户提出请求是不同操作,不能互相替代。

Temporary Chat 是否意味着任何人都不保存数据?

不是。OpenAI 说明临时聊天不进入历史、不创建记忆、不用于训练,但出于安全目的可能保留副本最多 30 天;发送给 GPT actions 等第三方的数据可能按接收方政策保留更久。

启用 MFA 后还需要退出所有设备吗?

怀疑账号被接管时需要。OpenAI 的帮助文档提醒,启用 MFA 不会自动退出现有会话;应在保护邮箱和恢复方式后,主动退出所有设备并检查账单与异常会话。

编辑复核与纠错记录

编辑主体:兰塞 AI 编辑流程;事实复核:2026 年 7 月 16 日;事件日期:2023 年 3 月 20 日。旧稿把历史事故写成“今日突发”,误将支付资料潜在影响的 1.2% 套到聊天标题,并使用无法逐字核对的官方引语。本次 A 级重写依据 OpenAI 事故报告和当前帮助中心,重建时间线、影响字段、Redis 根因、五类数据风险、个人处置与企业治理,并新增两张原创信息图。本站来源、更新和纠错原则见关于本站与编辑规范