用開源軟件搭建chatGPT 網站？小心別人花你的錢！

如果在缺省情況下使用chatGPT-web 這個軟件，一不小心就會被人掃描到，並且會被人無償使用。

撰文：衛劍釩

自從OpenAI 提供了GPT 的API 後，很多同學用一款開源軟件搭建自己的chatGPT 網站。

這款開源軟件是chatGPT-web，網址是：

搭建好以後，界面大概就是這個樣子：

但是，如果在缺省情況下使用這個軟件，一不小心（是說你不會設置），就會被人掃描到，並且會被人無償使用。

很多網站維護者已經紛紛中招，他們發現，自己搭的chatGPT，自己還沒有怎麼用，已經被別人重度使用了，每天的API 費用都達到了好幾美元。

原因就是他的網站被人發現了，並且被很多人免費使用了。

別人是如何發現這種網站的？

互聯網上有一些網絡資產搜索引擎（有人稱其為「網絡空間測繪」），通過指定擬搜索網站的title 信息、域名信息、IP 信息、端口和協議信息、header 信息、html 正文信息、banner 信息、城市信息、證書信息等等，可以對互聯網上的信息資產進行非常便利的搜索，比如可以搜索含特定標題的網頁，搜索某軟件在互聯網的部署情況，並可做到全網的漏洞掃描。

這些引擎中最知名的有FOFA 和shodan。

使用這些搜索引擎，你能找到幾乎所有和互聯網相關聯的資產，因為這些搜索引擎，幾乎一刻不停地在互聯網上搜索著各種服務器、路由器、智能設備、攝像頭、打印機等等，這樣，用戶搜索時，就能迅速返回搜索結果。

真正可怕之處在於，很多在互聯網上網站或設備並沒有安全防禦措施，所以別人搜索到了，就可以很輕鬆地進入。

chatGPT-web 這個開源軟件，其前端首頁的Title 默認是：ChatGPT Web

那麼在資產搜索引擎裡，搜索title 是ChatGPT Web 的網站，就可以發現使用這個開源項目的網站了。

可以看到，在1 秒多的時間內，就搜索到了2 萬多個這樣的網站。

如果這些網站沒有口令保護（缺省是沒有的，除非去設置），掃描者就可以直接使用不花錢的chatGPT 了。

如何防範

其實在chatGPT-web 的README 中，說明了這個問題，只不過很多使用者把所有精力都放在了怎麼讓網站轉起來，而沒有細看這些安全說明。

如果你真的用的，現在改還來得及，畢竟，能少損失一點少損失一點。

1、在前端的index.html 文件中，將title 修改為別的，一定不要含有ChatGPT 的字樣。

2、在配置文件中，設置AUTH_SECRET_KEY，給網頁增加訪問口令。

如果是自己構建後端，在在service 目錄下的.env 文件中設置AUTH_SECRET_KEY。

如果用的是Docker Compose，在docker-compose 目錄下的docker-compose.yml 文件中設置。

加上口令驗證後，網頁就會變成這樣：

這樣就會好很多，至少可以攔截大量的一般嘗試者。

結語

所以，網站維護者一定要有最基本的安全意識，你以為別人發現不了你，其實別人早就發現你，並且利用你了。

軟件開發者則應該考慮，如何讓軟件的缺省安裝是安全的，比如讓程序自動生成不同的Title，自動生成缺省的口令等等，而不是等著用戶去設置。

你可以說，我是開源的，我沒有這義務，你用不好是你自己的事，但是，如果你做的好，你的聲譽會很好。

因為使用者，往往就是傻瓜式安裝，他們懶得改任何東西。

網站可能還會有其他問題，就看攻擊者是不是有心了，此處不贅述。有興趣可以看看此文：《使用國內私人部署ChatGPT 風險分析》。