點擊輸入圖片描述（最多30字）OpenAI 已確認 Mixpanel 發(fā)生了一起安全事件，該事件暴露了部分 API 用戶有限的個人資料數(shù)據(jù)，同時強調(diào)聊天、憑證和支付仍是安全的。Mixpanel安全事件發(fā)生了什么事件的核心是 Mixpanel，這是 OpenAI 在 platform.openai.com 年在其 API 儀表盤中使用的第三方網(wǎng)絡(luò)分析提供商。2025年11月9日，一名攻擊者未經(jīng)授權(quán)訪問了Mixpanel部分系統(tǒng)，并導出了一份分析數(shù)據(jù)集。Mixpanel在調(diào)查期間通知了OpenAI，并于11月25日分享了受影響的數(shù)據(jù)集。OpenAI于11月26日公開披露此事，并開始給受影響的開發(fā)者發(fā)郵件，將此次事件描述為供應商方的泄露，而非OpenAI基礎(chǔ)設(shè)施的破壞。關(guān)鍵是，OpenAI重申這“不是對其系統(tǒng)系統(tǒng)的風險”。暴露僅限于Mixpanel為分析收集的數(shù)據(jù)，而非模型提示、響應或平臺內(nèi)部日志。哪些數(shù)據(jù)被泄露，誰受到影響此次泄露影響的是部分OpenAI開發(fā)者平臺 platform.openai.com 的用戶，而非普通ChatGPT賬戶。使用 chatgpt.com 或其他OpenAI產(chǎn)品的消費者未被列入受影響用戶名單。OpenAI表示，導出的數(shù)據(jù)集可能包含與API賬戶關(guān)聯(lián)的用戶資料信息，如賬戶提供的名稱、關(guān)聯(lián)的電子郵件地址，以及基于瀏覽器元數(shù)據(jù)的“粗略”位置，包括城市、州和國家。·API賬戶上的名稱·API賬戶的電子郵件地址·瀏覽器上的大致位置（城市、州、國家）·操作系統(tǒng)和瀏覽器·將網(wǎng)站推薦至 platform.openai.com·與API賬戶關(guān)聯(lián)的組織或用戶ID。OpenAI和外部報告都強調(diào)未被泄露的內(nèi)容：被盜數(shù)據(jù)集中沒有聊天內(nèi)容、提示、API請求、密碼、API密鑰、支付詳情、政府ID、會話令牌或其他敏感賬戶憑證。OpenAI的回應與加強供應商安全措施收到Mixpanel的數(shù)據(jù)集后，OpenAI將該服務從生產(chǎn)環(huán)境中移除，審查了暴露的數(shù)據(jù)，并開始通過電子郵件直接通知受影響的組織、管理員和用戶。該機構(gòu)表示，尚未發(fā)現(xiàn)Mixpanel環(huán)境外的系統(tǒng)或信息受到影響的證據(jù)�！巴该鞫葘ξ覀兒苤匾晕覀兿胪ㄖ罱谖覀兪褂玫臄�(shù)據(jù)分析提供商Mixpanel發(fā)生的安全事件。”—— OpenAIOpenAI 在其公開的常見問題中確認已終止使用 Mixpanel，并正在其供應商生態(tài)系統(tǒng)中進行額外的安全審查，進一步提升所有合作伙伴和分析提供商的安全要求�！靶湃�、安全和隱私是我們產(chǎn)品和使命的基礎(chǔ)。我們致力于透明度，并正在通知所有受影響的客戶和用戶�！啊狾penAI發(fā)言人這些聲明旨在安撫開發(fā)者，表明公司將此次事故視為供應鏈故障，而非一次性故障，其他供應商可能會面臨更嚴格的訪問和數(shù)據(jù)最小化規(guī)定。點擊輸入圖片描述（最多30字）開發(fā)者面臨的釣魚風險及如何保護賬戶雖然僅暴露了分析元數(shù)據(jù)，但名稱、電子郵件、位置線索和組織ID的組合足以進行針對性的釣魚和社交工程嘗試，這些都令人信服地模擬了真實的OpenAI或API計費消息。OpenAI 呼吁受影響的開發(fā)者對意外郵件、鏈接或附件提示保持警惕，尤其是涉及 API 使用、計費、密鑰或疑似違反策略的提示。公司重申，不通過電子郵件、短信或聊天請求密碼、API 密鑰或驗證碼�！ぜ词惯@些提醒涉及你的組織，也要對未經(jīng)請求的安全或賬單提醒持懷疑態(tài)度�！ねㄟ^仔細檢查發(fā)送方域名來驗證聲稱來自O(shè)penAI的消息。·絕不要在官方儀表盤之外分享密碼、API密鑰或驗證碼�！ぴ贠penAI和身份提供者賬戶上啟用多因素認證（MFA）。安全專家指出，即使是“低敏感性”字段，也可以與其他泄露信息或開源情報串聯(lián)，打造高度可信的釣魚頁面和消息，尤其是針對基于OpenAI平臺的高價值開發(fā)者或企業(yè)租戶。為什么這次供應商泄露對人工智能安全至關(guān)重要Mixpanel事件凸顯了AI公司不僅通過自身代碼暴露，還通過其產(chǎn)品中接線的分析、支持和基礎(chǔ)設(shè)施供應商。攻擊者越來越多地針對那些只存儲足夠數(shù)據(jù)以轉(zhuǎn)向更有價值系統(tǒng)的小型服務。該報告發(fā)布時，OpenAI還曾多次報告被盜憑證和數(shù)據(jù)泄露，公司多次表示這些問題源于用戶設(shè)備中的惡意軟件，而非直接入侵。即便如此，每一次新的事件都會增加證明供應商監(jiān)管和數(shù)據(jù)最小化正在收緊而非放松的壓力。對于基于大型模型構(gòu)建的開發(fā)者和企業(yè)來說，教訓很簡單：分析和遙測輔助工具是攻擊面的一部分。將哪些合作伙伴能看到哪些數(shù)據(jù)，并在每次集成中執(zhí)行嚴格的安全標準，如今已成為AI風險管理的核心，而非一個“加油”的合規(guī)盒子。OpenAI的Mixpanel事件未泄露提示、API負載或支付數(shù)據(jù)，但泄露了部分API用戶和組織可識別的個人資料信息。這足以助長復雜的釣魚攻擊，試圖利用OpenAI品牌的信任。通過切斷與Mixpanel的合作，提高供應商標準，推動多因素認證和釣魚防范意識，OpenAI試圖表明它對第三方失敗的態(tài)度與直接攻擊同等重視。對于搭載其平臺的團隊來說，這再次提醒我們要加強賬戶、監(jiān)控收件箱，并將分析合作伙伴視為AI安全防護的一部分，而非外部。penAI的前分析供應商Mixpanel遭到攻破，漏洞暴露了什么？

OpenAI 已確認 Mixpanel 發(fā)生了一起安全事件，該事件暴露了部分 API 用戶有限的個人資料數(shù)據(jù)，同時強調(diào)聊天、憑證和支付仍是安全的。

Mixpanel安全事件發(fā)生了什么

事件的核心是 Mixpanel，這是 OpenAI 在 platform.openai.com 年在其 API 儀表盤中使用的第三方網(wǎng)絡(luò)分析提供商。2025年11月9日，一名攻擊者未經(jīng)授權(quán)訪問了Mixpanel部分系統(tǒng)，并導出了一份分析數(shù)據(jù)集。

Mixpanel在調(diào)查期間通知了OpenAI，并于11月25日分享了受影響的數(shù)據(jù)集。OpenAI于11月26日公開披露此事，并開始給受影響的開發(fā)者發(fā)郵件，將此次事件描述為供應商方的泄露，而非OpenAI基礎(chǔ)設(shè)施的破壞。

關(guān)鍵是，OpenAI重申這“不是對其系統(tǒng)系統(tǒng)的風險”。暴露僅限于Mixpanel為分析收集的數(shù)據(jù)，而非模型提示、響應或平臺內(nèi)部日志。

哪些數(shù)據(jù)被泄露，誰受到影響

此次泄露影響的是部分OpenAI開發(fā)者平臺 platform.openai.com 的用戶，而非普通ChatGPT賬戶。使用 chatgpt.com 或其他OpenAI產(chǎn)品的消費者未被列入受影響用戶名單。

OpenAI表示，導出的數(shù)據(jù)集可能包含與API賬戶關(guān)聯(lián)的用戶資料信息，如賬戶提供的名稱、關(guān)聯(lián)的電子郵件地址，以及基于瀏覽器元數(shù)據(jù)的“粗略”位置，包括城市、州和國家。

·API賬戶上的名稱

·API賬戶的電子郵件地址

·瀏覽器上的大致位置（城市、州、國家）

·操作系統(tǒng)和瀏覽器

·將網(wǎng)站推薦至 platform.openai.com

·與API賬戶關(guān)聯(lián)的組織或用戶ID。

OpenAI和外部報告都強調(diào)未被泄露的內(nèi)容：被盜數(shù)據(jù)集中沒有聊天內(nèi)容、提示、API請求、密碼、API密鑰、支付詳情、政府ID、會話令牌或其他敏感賬戶憑證。

OpenAI的回應與加強供應商安全措施

收到Mixpanel的數(shù)據(jù)集后，OpenAI將該服務從生產(chǎn)環(huán)境中移除，審查了暴露的數(shù)據(jù)，并開始通過電子郵件直接通知受影響的組織、管理員和用戶。該機構(gòu)表示，尚未發(fā)現(xiàn)Mixpanel環(huán)境外的系統(tǒng)或信息受到影響的證據(jù)。

“透明度對我們很重要，所以我們想通知您最近在我們使用的數(shù)據(jù)分析提供商Mixpanel發(fā)生的安全事件。”—— OpenAI

OpenAI 在其公開的常見問題中確認已終止使用 Mixpanel，并正在其供應商生態(tài)系統(tǒng)中進行額外的安全審查，進一步提升所有合作伙伴和分析提供商的安全要求。

“信任、安全和隱私是我們產(chǎn)品和使命的基礎(chǔ)。我們致力于透明度，并正在通知所有受影響的客戶和用戶�！啊狾penAI發(fā)言人

這些聲明旨在安撫開發(fā)者，表明公司將此次事故視為供應鏈故障，而非一次性故障，其他供應商可能會面臨更嚴格的訪問和數(shù)據(jù)最小化規(guī)定。

開發(fā)者面臨的釣魚風險及如何保護賬戶

雖然僅暴露了分析元數(shù)據(jù)，但名稱、電子郵件、位置線索和組織ID的組合足以進行針對性的釣魚和社交工程嘗試，這些都令人信服地模擬了真實的OpenAI或API計費消息。

OpenAI 呼吁受影響的開發(fā)者對意外郵件、鏈接或附件提示保持警惕，尤其是涉及 API 使用、計費、密鑰或疑似違反策略的提示。公司重申，不通過電子郵件、短信或聊天請求密碼、API 密鑰或驗證碼。

·即使這些提醒涉及你的組織，也要對未經(jīng)請求的安全或賬單提醒持懷疑態(tài)度。

·通過仔細檢查發(fā)送方域名來驗證聲稱來自O(shè)penAI的消息。

·絕不要在官方儀表盤之外分享密碼、API密鑰或驗證碼。

·在OpenAI和身份提供者賬戶上啟用多因素認證（MFA）。

安全專家指出，即使是“低敏感性”字段，也可以與其他泄露信息或開源情報串聯(lián)，打造高度可信的釣魚頁面和消息，尤其是針對基于OpenAI平臺的高價值開發(fā)者或企業(yè)租戶。

為什么這次供應商泄露對人工智能安全至關(guān)重要

Mixpanel事件凸顯了AI公司不僅通過自身代碼暴露，還通過其產(chǎn)品中接線的分析、支持和基礎(chǔ)設(shè)施供應商。攻擊者越來越多地針對那些只存儲足夠數(shù)據(jù)以轉(zhuǎn)向更有價值系統(tǒng)的小型服務。

該報告發(fā)布時，OpenAI還曾多次報告被盜憑證和數(shù)據(jù)泄露，公司多次表示這些問題源于用戶設(shè)備中的惡意軟件，而非直接入侵。即便如此，每一次新的事件都會增加證明供應商監(jiān)管和數(shù)據(jù)最小化正在收緊而非放松的壓力。

對于基于大型模型構(gòu)建的開發(fā)者和企業(yè)來說，教訓很簡單：分析和遙測輔助工具是攻擊面的一部分。將哪些合作伙伴能看到哪些數(shù)據(jù)，并在每次集成中執(zhí)行嚴格的安全標準，如今已成為AI風險管理的核心，而非一個“加油”的合規(guī)盒子。

OpenAI的Mixpanel事件未泄露提示、API負載或支付數(shù)據(jù)，但泄露了部分API用戶和組織可識別的個人資料信息。這足以助長復雜的釣魚攻擊，試圖利用OpenAI品牌的信任。

通過切斷與Mixpanel的合作，提高供應商標準，推動多因素認證和釣魚防范意識，OpenAI試圖表明它對第三方失敗的態(tài)度與直接攻擊同等重視。對于搭載其平臺的團隊來說，這再次提醒我們要加強賬戶、監(jiān)控收件箱，并將分析合作伙伴視為AI安全防護的一部分，而非外部。