通过该漏洞，用户可以免费获得无限的信用额度来测试不同的OpenAI项目，包括ChatGPT。

不久前，OpenAI 为了让用户尝试其他开放的人工智能项目，特意为新用户提供了免费的信用积分额度（约7美元）。随后网络安全公司Checkmarx表示，目前发现了一个漏洞，允许用户滥用试用，并在新账户上获得无限的信用积分额度。

研究人员表示：通过拦截和修改OpenAI的API请求，我们发现了这一漏洞。该漏洞能够使用同一个电话号码注册任意数量的账户，获得无限的免费积分额度。

为了注册试用，用户必须输入他们的电子邮件地址，点击发送到收件箱的激活链接，输入一个电话号码，然后输入短信验证码。电子邮件和电话号码都必须是唯一的，用户才能获得免费的积分额度。

然而，不法分子为了让同一账户获得更多的信用积分额度。他们对电话号码进行细微的改动，例如在国家/地区代码前面添加前缀。最终，他们通过使用同一电话号码的不同前缀的变化绕过了要求。

研究人员解释说：这一漏洞允许一个恶意的用户拥有多个账户，并获得更多的信用积分额度，而且用的是同一个电话号码。

但这对他们来说似乎还不够，因为他们想将信用积分值提高到一个更恐怖的数额。

然后，研究人员将开源工具REcollapse投入使用。这允许用户模糊输入和绕过验证等。

经过一些初步测试，观察到OpenAI API对一些模式进行了清理。在某些非ASCII（美国信息交换标准代码）字节上使用Unicode编码使我们能够绕过它并注册更多帐户。

目前该公司在收到通知后修复了该漏洞。

文章来源 ：freebuf、IT之家