OpenAI 推出高级账户安全功能:抵御钓鱼攻击,强化账号恢复
OpenAI 于今日正式发布 Advanced Account Security(高级账户安全)功能,这是一项面向 ChatGPT 及 Codex 用户的可选增强保护方案。该功能旨在为记者、政界人士、研究人员等高风险群体提供更严密的数字防护,同时也是其更广泛网络安全行动计划的一部分。
核心机制:多维度提升安全层级
Advanced Account Security 整合了多项安全控制措施,从登录、恢复到会话管理全链路加固:
- 强制无密码登录:要求使用通行密钥(passkeys)或物理安全密钥,彻底禁用传统密码登录,从源头抵御钓鱼攻击。
- 更安全的账户恢复:传统邮箱或短信恢复方式易受 SIM 卡劫持或邮箱失陷攻击。新功能引入更严格的恢复流程,降低攻击者利用这些渠道接管账户的风险。
- 减少会话暴露:通过缩短会话有效期、限制从新设备登录等方式,减少因凭证泄露导致的持续访问风险。
- 增强活动可见性:用户可更清晰地查看账户登录记录、活跃会话和授权应用,及时发现异常行为。
用户可在 ChatGPT 网页端的“安全”设置中手动开启该功能。开启后,同一账户下的 Codex 开发环境也将自动获得同等保护。
为何此时推出?——AI 账户的安全价值升级
随着 AI 工具越来越多地介入个人隐私咨询、商业决策、学术研究等场景,ChatGPT 账户中积累的对话记录、上传文件、API 密钥等信息已成为高价值目标。对于记者、政治活动家、企业高管等群体,账户被接管可能导致严重的信息泄露或声誉损害。
OpenAI 在公告中强调,高级账户安全“需要用户承担更多的账户恢复责任”。这意味着,一旦用户丢失通行密钥或安全密钥,恢复流程将比传统密码找回更复杂——这种权衡旨在换取更高的安全性。
行业背景:AI 平台安全竞赛加速
近年来,针对 AI 服务账户的定向攻击显著增加。2024 年,多家 AI 公司曾报告凭证填充(credential stuffing)和钓鱼攻击导致用户数据泄露的事件。OpenAI 此次推出的方案直接对标企业级安全标准:
- 通行密钥 已被 Apple、Google、Microsoft 等巨头推广,其抗钓鱼特性优于传统多因素认证(MFA)。
- 物理安全密钥(如 YubiKey)则提供硬件级保护,适合对安全性有极端要求的用户。
相比其他 AI 平台仍主要依赖短信验证码或 TOTP 应用,OpenAI 率先将无密码登录作为高风险用户的默认选项,可能推动行业安全标准升级。
小结:安全与便利的再平衡
Advanced Account Security 并非面向所有用户——它更适合那些愿意牺牲一定便捷性以换取最高等级防护的人群。对于普通用户而言,现有的密码 + 两步验证方案仍可满足日常需求。但这一功能的推出,标志着 AI 平台开始正视“账户即资产”的现实,并为不同风险偏好的用户提供了更细粒度的安全选择。
未来,随着 AI 代理执行更多自主操作,账户安全体系可能进一步与身份认证协议、设备信任评分等技术融合。OpenAI 的这一步,或许只是 AI 安全演进长卷的开端。
