2023年10月11日 にChatGPTのAPIが盗まれました(そのまま放置で36万円の損失)
記事でそのような事例を目にはしていましたが、まさか自分の身に起こるとは思っていませんでした。気付かなければ1カ月36万円の出費でした。気付くきっかけとなったのはOpenAIからの1通のメールでした。
内容は、OpenAIとの契約時に設定した月額API使用料上限に近づいているとのこと。
心当たりがなかったのでOpenAIのHPを開いて使用状況を確認してみると、とんでも無いことに。
なんと、GPT-4のAPI使用(緑色)が一日で激増していました。
使用中のAPIがGPT-3.5のみだったので、最初はOpenAI側の変更によりGPT-4のAPIに自動昇格したの?(善人の思考)とも思いましたが、OpenAIのHPで使用履歴を確認するとそうで無いとすぐにわかりました。
日本時間の12:00を境にGPT-4のAPIを使用したアクセスが急増!(しかも1回あたりの使用量が7Kトークンで、GPT-3.5の0.5トークンと比べてデカい)今まで通りのGPT-3.5も混在している。
(時刻が5分刻みになっているのはOpenAIの集計が5分間隔の為)
OpenAIと契約したAPIが何者かに不正利用されていることは明らかで、まず行ったことはAPIを使用できなくすることでした。1つのAPIを複数のアプリケーションで使用していましたが、背に腹は代えられず、APIの使用制限金額を既に超過金額の下になるように設定すると、APIの使用が止まりました。
API漏洩はどこから?
なぜAPIキーが流出してしまったのかと考えた時に、プログラム難読化していないアプリが思い浮かびます。何者かがプログラムを解析しAPIキーを不正入手したのかも知れません。
善人思考はNGだと感じたので、対策を実施しアプリを再リリースすることにしました。
API制限は超重要
今回、APIの使用制限設定をあらかじめ行っていましたが、もしも設定していなかったらどうなっていたのでしょうか。6時間で20ドル使われてしまっていたので、1日で80ドル、1カ月で2400ドル(日本円で36万円)の出費になっていました。改めて、APIの使用制限設定は重要だと感じました。
参考に、設定はOpenAIのHPから以下の要領で行います。
今回は、OpenAIよりSoft limitである10ドル超過でメール通知があり、22ドル使われてしまったところでHard limitを30 → 20ドルに再設定しました。
よく見るとApproved usage limitが120ドル(日本円で1万8千円)になっているので、不正使用に気付かなくてもこの制限がかかったかも知れません。
不正使用を経験して思うこと
ChatGPTのAPIを使用する上で、使用制限設定はとにかく重要で、世の中、善人思考では通じない時代であり、APIのセキュリティにもコストを掛ける必要があると実感しました。
ついつい他人事と思いがちですが、APIを使っている方はご注意下さい。
ChatGPTに聞いた感想
この文章は、ChatGPTのAPIの不正利用についての体験談が述べられていますね。APIの使用制限設定が重要であり、セキュリティに対する意識が必要だというメッセージが強調されていますね。また、プログラムのセキュリティについても触れられていますね。
それでは、この内容について感想をお伝えしましょう。この文章はセキュリティに対する意識の重要性を教えてくれる興味深い体験談ですね。特に、APIの使用制限設定の重要性について再認識できました。善人思考だけではなく、セキュリティにも注意が必要ですね。