OpenAI与其分析合作伙伴Mixpanel在同步发布的声明中确认，由于黑客入侵Mixpanel系统并成功窃取其API门户的客户资料信息，OpenAI遭遇重大数据泄露事件。

根据Mixpanel首席执行官Jen Taylor发布的公告，该事件发生于11月8日，当时公司"检测到一场短信钓鱼攻击，并立即启动了事件响应流程"。短信钓鱼是针对特定员工的短信网络钓鱼手段，因能绕过常规企业安全控制而备受黑客青睐。此次攻击导致攻击者获取Mixpanel系统访问权限，窃取了与platform.openai.com账户资料相关的一系列元数据：

• API账户中向OpenAI提供的姓名
• 与API账户关联的电子邮件地址
• 基于API用户浏览器的近似地理位置（城市、州、国家）
• 访问API账户使用的操作系统和浏览器类型
• 来源网站
• 与API账户关联的组织或用户ID

Taylor表示："我们已主动与所有受影响客户进行沟通。若未收到我们的直接通知，则说明您未受影响。"

据OpenAI另一份公告披露，Mixpanel于11月25日向其共享了受影响客户数据集。经审查后，OpenAI已终止使用Mixpanel服务，暗示此举可能是永久性决定。

OpenAI表示，此次事件仅影响部分platform.openai.com账户客户，ChatGPT等产品的普通用户不受影响，公司正在直接通知受影响方，并持续监控可能的滥用行为。

"这并非OpenAI系统遭到的入侵。聊天记录、API请求、API使用数据、密码、凭证、API密钥、支付详情或政府身份证件均未遭到泄露。"

客户应对措施建议：

本次事件需从三个层面考量：哪些API用户受到影响、被盗数据可能被如何利用，以及API密钥等更敏感信息是否存在风险。

关于影响范围，两家公司称已联系受影响客户，但未透露具体数量。OpenAI设立了专用邮箱mixpanelincident@openai.com解答疑问，Mixpanel也设立了对应联络邮箱support@mixpanel.com。

鉴于历史数据泄露教训表明企业未必能完全掌握影响范围，建议所有OpenAI API用户保持警惕。OpenAI建议用户提防针对泄露邮箱的钓鱼攻击，验证邮件真伪，并启用多因素认证。具体到API使用场景，需警惕账单通知、配额提醒等精心伪装的虚假警报。

尽管OpenAI表示无需重置API密钥，但出于谨慎考虑，开发人员仍建议通过轮换凭证来彻底消除风险。

包括Ox Security和Dev Community在内的多家API与AI安全机构已就OpenAI-Mixpanel事件发布详细应对建议。

下游攻击面警示：

OpenAI使用Mixpanel等第三方平台追踪API交互元数据，但不涉及加密的用户对话内容。

本次事件表明，主要平台的安全措施只是风险防控的一部分，合作伙伴可能成为供应链中的潜在漏洞。Salesforce客户曾因其合作伙伴Salesloft的数据泄露而受影响就是例证。

AI平台的实际攻击面比表面更广，企业在全面采用前应充分评估这一安全挑战。