點(diǎn)擊輸入圖片描述（最多30字）OpenAI 已確認(rèn) Mixpanel 發(fā)生了一起安全事件，該事件暴露了部分 API 用戶有限的個(gè)人資料數(shù)據(jù)，同時(shí)強(qiáng)調(diào)聊天、憑證和支付仍是安全的。Mixpanel安全事件發(fā)生了什么事件的核心是 Mixpanel，這是 OpenAI 在 platform.openai.com 年在其 API 儀表盤中使用的第三方網(wǎng)絡(luò)分析提供商。2025年11月9日，一名攻擊者未經(jīng)授權(quán)訪問了Mixpanel部分系統(tǒng)，并導(dǎo)出了一份分析數(shù)據(jù)集。Mixpanel在調(diào)查期間通知了OpenAI，并于11月25日分享了受影響的數(shù)據(jù)集。OpenAI于11月26日公開披露此事，并開始給受影響的開發(fā)者發(fā)郵件，將此次事件描述為供應(yīng)商方的泄露，而非OpenAI基礎(chǔ)設(shè)施的破壞。關(guān)鍵是，OpenAI重申這“不是對(duì)其系統(tǒng)系統(tǒng)的風(fēng)險(xiǎn)”。暴露僅限于Mixpanel為分析收集的數(shù)據(jù)，而非模型提示、響應(yīng)或平臺(tái)內(nèi)部日志。哪些數(shù)據(jù)被泄露，誰受到影響此次泄露影響的是部分OpenAI開發(fā)者平臺(tái) platform.openai.com 的用戶，而非普通ChatGPT賬戶。使用 chatgpt.com 或其他OpenAI產(chǎn)品的消費(fèi)者未被列入受影響用戶名單。OpenAI表示，導(dǎo)出的數(shù)據(jù)集可能包含與API賬戶關(guān)聯(lián)的用戶資料信息，如賬戶提供的名稱、關(guān)聯(lián)的電子郵件地址，以及基于瀏覽器元數(shù)據(jù)的“粗略”位置，包括城市、州和國家?！PI賬戶上的名稱·API賬戶的電子郵件地址·瀏覽器上的大致位置（城市、州、國家）·操作系統(tǒng)和瀏覽器·將網(wǎng)站推薦至 platform.openai.com·與API賬戶關(guān)聯(lián)的組織或用戶ID。OpenAI和外部報(bào)告都強(qiáng)調(diào)未被泄露的內(nèi)容：被盜數(shù)據(jù)集中沒有聊天內(nèi)容、提示、API請(qǐng)求、密碼、API密鑰、支付詳情、政府ID、會(huì)話令牌或其他敏感賬戶憑證。OpenAI的回應(yīng)與加強(qiáng)供應(yīng)商安全措施收到Mixpanel的數(shù)據(jù)集后，OpenAI將該服務(wù)從生產(chǎn)環(huán)境中移除，審查了暴露的數(shù)據(jù)，并開始通過電子郵件直接通知受影響的組織、管理員和用戶。該機(jī)構(gòu)表示，尚未發(fā)現(xiàn)Mixpanel環(huán)境外的系統(tǒng)或信息受到影響的證據(jù)。“透明度對(duì)我們很重要，所以我們想通知您最近在我們使用的數(shù)據(jù)分析提供商Mixpanel發(fā)生的安全事件?！薄?OpenAIOpenAI 在其公開的常見問題中確認(rèn)已終止使用 Mixpanel，并正在其供應(yīng)商生態(tài)系統(tǒng)中進(jìn)行額外的安全審查，進(jìn)一步提升所有合作伙伴和分析提供商的安全要求。“信任、安全和隱私是我們產(chǎn)品和使命的基礎(chǔ)。我們致力于透明度，并正在通知所有受影響的客戶和用戶?！啊狾penAI發(fā)言人這些聲明旨在安撫開發(fā)者，表明公司將此次事故視為供應(yīng)鏈故障，而非一次性故障，其他供應(yīng)商可能會(huì)面臨更嚴(yán)格的訪問和數(shù)據(jù)最小化規(guī)定。點(diǎn)擊輸入圖片描述（最多30字）開發(fā)者面臨的釣魚風(fēng)險(xiǎn)及如何保護(hù)賬戶雖然僅暴露了分析元數(shù)據(jù)，但名稱、電子郵件、位置線索和組織ID的組合足以進(jìn)行針對(duì)性的釣魚和社交工程嘗試，這些都令人信服地模擬了真實(shí)的OpenAI或API計(jì)費(fèi)消息。OpenAI 呼吁受影響的開發(fā)者對(duì)意外郵件、鏈接或附件提示保持警惕，尤其是涉及 API 使用、計(jì)費(fèi)、密鑰或疑似違反策略的提示。公司重申，不通過電子郵件、短信或聊天請(qǐng)求密碼、API 密鑰或驗(yàn)證碼。·即使這些提醒涉及你的組織，也要對(duì)未經(jīng)請(qǐng)求的安全或賬單提醒持懷疑態(tài)度?！ねㄟ^仔細(xì)檢查發(fā)送方域名來驗(yàn)證聲稱來自O(shè)penAI的消息?！そ^不要在官方儀表盤之外分享密碼、API密鑰或驗(yàn)證碼。·在OpenAI和身份提供者賬戶上啟用多因素認(rèn)證（MFA）。安全專家指出，即使是“低敏感性”字段，也可以與其他泄露信息或開源情報(bào)串聯(lián)，打造高度可信的釣魚頁面和消息，尤其是針對(duì)基于OpenAI平臺(tái)的高價(jià)值開發(fā)者或企業(yè)租戶。為什么這次供應(yīng)商泄露對(duì)人工智能安全至關(guān)重要Mixpanel事件凸顯了AI公司不僅通過自身代碼暴露，還通過其產(chǎn)品中接線的分析、支持和基礎(chǔ)設(shè)施供應(yīng)商。攻擊者越來越多地針對(duì)那些只存儲(chǔ)足夠數(shù)據(jù)以轉(zhuǎn)向更有價(jià)值系統(tǒng)的小型服務(wù)。該報(bào)告發(fā)布時(shí)，OpenAI還曾多次報(bào)告被盜憑證和數(shù)據(jù)泄露，公司多次表示這些問題源于用戶設(shè)備中的惡意軟件，而非直接入侵。即便如此，每一次新的事件都會(huì)增加證明供應(yīng)商監(jiān)管和數(shù)據(jù)最小化正在收緊而非放松的壓力。對(duì)于基于大型模型構(gòu)建的開發(fā)者和企業(yè)來說，教訓(xùn)很簡(jiǎn)單：分析和遙測(cè)輔助工具是攻擊面的一部分。將哪些合作伙伴能看到哪些數(shù)據(jù)，并在每次集成中執(zhí)行嚴(yán)格的安全標(biāo)準(zhǔn)，如今已成為AI風(fēng)險(xiǎn)管理的核心，而非一個(gè)“加油”的合規(guī)盒子。OpenAI的Mixpanel事件未泄露提示、API負(fù)載或支付數(shù)據(jù)，但泄露了部分API用戶和組織可識(shí)別的個(gè)人資料信息。這足以助長復(fù)雜的釣魚攻擊，試圖利用OpenAI品牌的信任。通過切斷與Mixpanel的合作，提高供應(yīng)商標(biāo)準(zhǔn)，推動(dòng)多因素認(rèn)證和釣魚防范意識(shí)，OpenAI試圖表明它對(duì)第三方失敗的態(tài)度與直接攻擊同等重視。對(duì)于搭載其平臺(tái)的團(tuán)隊(duì)來說，這再次提醒我們要加強(qiáng)賬戶、監(jiān)控收件箱，并將分析合作伙伴視為AI安全防護(hù)的一部分，而非外部。penAI的前分析供應(yīng)商Mixpanel遭到攻破，漏洞暴露了什么？

OpenAI 已確認(rèn) Mixpanel 發(fā)生了一起安全事件，該事件暴露了部分 API 用戶有限的個(gè)人資料數(shù)據(jù)，同時(shí)強(qiáng)調(diào)聊天、憑證和支付仍是安全的。

Mixpanel安全事件發(fā)生了什么

事件的核心是 Mixpanel，這是 OpenAI 在 platform.openai.com 年在其 API 儀表盤中使用的第三方網(wǎng)絡(luò)分析提供商。2025年11月9日，一名攻擊者未經(jīng)授權(quán)訪問了Mixpanel部分系統(tǒng)，并導(dǎo)出了一份分析數(shù)據(jù)集。

Mixpanel在調(diào)查期間通知了OpenAI，并于11月25日分享了受影響的數(shù)據(jù)集。OpenAI于11月26日公開披露此事，并開始給受影響的開發(fā)者發(fā)郵件，將此次事件描述為供應(yīng)商方的泄露，而非OpenAI基礎(chǔ)設(shè)施的破壞。

關(guān)鍵是，OpenAI重申這“不是對(duì)其系統(tǒng)系統(tǒng)的風(fēng)險(xiǎn)”。暴露僅限于Mixpanel為分析收集的數(shù)據(jù)，而非模型提示、響應(yīng)或平臺(tái)內(nèi)部日志。

哪些數(shù)據(jù)被泄露，誰受到影響

此次泄露影響的是部分OpenAI開發(fā)者平臺(tái) platform.openai.com 的用戶，而非普通ChatGPT賬戶。使用 chatgpt.com 或其他OpenAI產(chǎn)品的消費(fèi)者未被列入受影響用戶名單。

OpenAI表示，導(dǎo)出的數(shù)據(jù)集可能包含與API賬戶關(guān)聯(lián)的用戶資料信息，如賬戶提供的名稱、關(guān)聯(lián)的電子郵件地址，以及基于瀏覽器元數(shù)據(jù)的“粗略”位置，包括城市、州和國家。

·API賬戶上的名稱

·API賬戶的電子郵件地址

·瀏覽器上的大致位置（城市、州、國家）

·操作系統(tǒng)和瀏覽器

·將網(wǎng)站推薦至 platform.openai.com

·與API賬戶關(guān)聯(lián)的組織或用戶ID。

OpenAI和外部報(bào)告都強(qiáng)調(diào)未被泄露的內(nèi)容：被盜數(shù)據(jù)集中沒有聊天內(nèi)容、提示、API請(qǐng)求、密碼、API密鑰、支付詳情、政府ID、會(huì)話令牌或其他敏感賬戶憑證。

OpenAI的回應(yīng)與加強(qiáng)供應(yīng)商安全措施

收到Mixpanel的數(shù)據(jù)集后，OpenAI將該服務(wù)從生產(chǎn)環(huán)境中移除，審查了暴露的數(shù)據(jù)，并開始通過電子郵件直接通知受影響的組織、管理員和用戶。該機(jī)構(gòu)表示，尚未發(fā)現(xiàn)Mixpanel環(huán)境外的系統(tǒng)或信息受到影響的證據(jù)。

“透明度對(duì)我們很重要，所以我們想通知您最近在我們使用的數(shù)據(jù)分析提供商Mixpanel發(fā)生的安全事件?！薄?OpenAI

OpenAI 在其公開的常見問題中確認(rèn)已終止使用 Mixpanel，并正在其供應(yīng)商生態(tài)系統(tǒng)中進(jìn)行額外的安全審查，進(jìn)一步提升所有合作伙伴和分析提供商的安全要求。

“信任、安全和隱私是我們產(chǎn)品和使命的基礎(chǔ)。我們致力于透明度，并正在通知所有受影響的客戶和用戶?！啊狾penAI發(fā)言人

這些聲明旨在安撫開發(fā)者，表明公司將此次事故視為供應(yīng)鏈故障，而非一次性故障，其他供應(yīng)商可能會(huì)面臨更嚴(yán)格的訪問和數(shù)據(jù)最小化規(guī)定。

開發(fā)者面臨的釣魚風(fēng)險(xiǎn)及如何保護(hù)賬戶

雖然僅暴露了分析元數(shù)據(jù)，但名稱、電子郵件、位置線索和組織ID的組合足以進(jìn)行針對(duì)性的釣魚和社交工程嘗試，這些都令人信服地模擬了真實(shí)的OpenAI或API計(jì)費(fèi)消息。

OpenAI 呼吁受影響的開發(fā)者對(duì)意外郵件、鏈接或附件提示保持警惕，尤其是涉及 API 使用、計(jì)費(fèi)、密鑰或疑似違反策略的提示。公司重申，不通過電子郵件、短信或聊天請(qǐng)求密碼、API 密鑰或驗(yàn)證碼。

·即使這些提醒涉及你的組織，也要對(duì)未經(jīng)請(qǐng)求的安全或賬單提醒持懷疑態(tài)度。

·通過仔細(xì)檢查發(fā)送方域名來驗(yàn)證聲稱來自O(shè)penAI的消息。

·絕不要在官方儀表盤之外分享密碼、API密鑰或驗(yàn)證碼。

·在OpenAI和身份提供者賬戶上啟用多因素認(rèn)證（MFA）。

安全專家指出，即使是“低敏感性”字段，也可以與其他泄露信息或開源情報(bào)串聯(lián)，打造高度可信的釣魚頁面和消息，尤其是針對(duì)基于OpenAI平臺(tái)的高價(jià)值開發(fā)者或企業(yè)租戶。

為什么這次供應(yīng)商泄露對(duì)人工智能安全至關(guān)重要

Mixpanel事件凸顯了AI公司不僅通過自身代碼暴露，還通過其產(chǎn)品中接線的分析、支持和基礎(chǔ)設(shè)施供應(yīng)商。攻擊者越來越多地針對(duì)那些只存儲(chǔ)足夠數(shù)據(jù)以轉(zhuǎn)向更有價(jià)值系統(tǒng)的小型服務(wù)。

該報(bào)告發(fā)布時(shí)，OpenAI還曾多次報(bào)告被盜憑證和數(shù)據(jù)泄露，公司多次表示這些問題源于用戶設(shè)備中的惡意軟件，而非直接入侵。即便如此，每一次新的事件都會(huì)增加證明供應(yīng)商監(jiān)管和數(shù)據(jù)最小化正在收緊而非放松的壓力。

對(duì)于基于大型模型構(gòu)建的開發(fā)者和企業(yè)來說，教訓(xùn)很簡(jiǎn)單：分析和遙測(cè)輔助工具是攻擊面的一部分。將哪些合作伙伴能看到哪些數(shù)據(jù)，并在每次集成中執(zhí)行嚴(yán)格的安全標(biāo)準(zhǔn)，如今已成為AI風(fēng)險(xiǎn)管理的核心，而非一個(gè)“加油”的合規(guī)盒子。

OpenAI的Mixpanel事件未泄露提示、API負(fù)載或支付數(shù)據(jù)，但泄露了部分API用戶和組織可識(shí)別的個(gè)人資料信息。這足以助長復(fù)雜的釣魚攻擊，試圖利用OpenAI品牌的信任。

通過切斷與Mixpanel的合作，提高供應(yīng)商標(biāo)準(zhǔn)，推動(dòng)多因素認(rèn)證和釣魚防范意識(shí)，OpenAI試圖表明它對(duì)第三方失敗的態(tài)度與直接攻擊同等重視。對(duì)于搭載其平臺(tái)的團(tuán)隊(duì)來說，這再次提醒我們要加強(qiáng)賬戶、監(jiān)控收件箱，并將分析合作伙伴視為AI安全防護(hù)的一部分，而非外部。