据知名技术论坛 Linux.do 及多个社交群组披露,OpenAI 的企业级服务架构中近期被曝出存在新的安全漏洞,引发了部分灰产群体的关注。不同于此前仅仅是在单一 Team 账号内通过特定协议无限拉入成员的“加人”模式,此次曝光的操作手法转向了对 Team 账号本身的“无限创建与转换”。知情人士透露,这种新方法的账号存活率明显优于前者,意味着 OpenAI 的风控系统目前尚未能完全识别和阻断此类批量生成的虚拟账号。这一现象在技术圈引发了热议,不少开发者调侃称,目前的局面仿佛是用户在集体“逆向奥特曼官网”,意指 OpenAI 官网的漏洞挖掘速度甚至快于官方的修补速度。频繁出现的此类漏洞,不仅暴露了 OpenAI 在高并发、复杂权限管理下的验证盲区,也折射出在 AI 算力与账号稀缺的背景下,黑灰产对平台的疯狂试探。
事件分析
此次事件表明 OpenAI 的账号风控体系存在明显的滞后性。攻击者从“单一Team内无限拉人”转向“无限Team号创建/转换”,说明 OpenAI 可能修复了前端的成员上限校验或关联逻辑,但并未彻底封堵账号注册与转换接口的滥用通道。这种利用 API 或 Web 端逻辑漏洞进行“账号农场”运作的模式,本质上是对 SaaS 服务租户隔离机制的挑战。从产业角度看,如果此类漏洞无法根除,OpenAI 可能被迫采取更激进的验证策略(如强制信用卡绑定、硬件指纹验证),这将导致合规成本上升并可能误伤隐私敏感型开发者。这也反映了当前 AI 资源稀缺下,通过技术手段绕过付费墙的灰色市场需求依然旺盛。
💡 核心观点:OpenAI 接二连三的权限漏洞揭示了 SaaS 平台的固有脆弱性:访问控制的防御迭代速度往往滞后于灰产对商业价值的追踪。
原文链接:Linux.do
AI周刊:大模型、智能体与产业动态追踪
程序员数学扫盲课
冲浪推荐:AI工具与技术精选导航
Claude Code 全体系指南:AI 编程智能体实战