Mixpanel | OpenAI 服务提供商 (ChatGPT) 发生数据泄露：您的电子邮件和帐户数据是否受到影响？

platform.openai.com 的安全漏洞：API 用户现在迫切需要了解的信息

在人工智能领域，透明度和数据安全至关重要。OpenAI 目前正在向用户通报一起安全事件。虽然该事件并未影响其自身的核心基础设施，但却影响了外部合作伙伴的数据处理。事件的核心在于第三方供应商 Mixpanel 的系统遭到未经授权的访问，这将对 OpenAI 平台的用户造成影响。

Mixpanel是什么？它与OpenAI有什么关系？

Mixpanel 是一款广泛使用的商业分析和用户数据分析服务提供商。企业将 Mixpanel 集成到其网站或应用程序中，以了解用户如何与其产品互动——例如，用户点击了哪些按钮或访客来自哪个网站。OpenAI
专门使用这项服务对其 API 平台 (platform.openai.com) 进行前端分析。这意味着，为了改进面向开发者和企业客户的用户界面，OpenAI 将某些使用数据和元数据传输到 Mixpanel 进行分析。

Mixpanel系统环境存在安全漏洞，攻击者利用该漏洞导出包含OpenAI用户信息的数据集。尽管OpenAI强调密码、API密钥和聊天记录等关键信息仍然安全，但电子邮件地址和姓名等身份识别信息已被泄露。因此，OpenAI已立即终止与Mixpanel的合作。

以下分析详细说明了哪些数据受到影响、为什么社会工程攻击的风险现在正在增加，以及 OpenAI 如何应对这一事件。

事件介绍及基本背景

一般来说，这属于哪种类型的事件？

此次事件是一起安全漏洞，但并未直接影响 OpenAI 的核心系统；它涉及一家外部服务提供商。具体而言，此次事件涉及数据分析提供商 Mixpanel 的数据泄露。OpenAI 使用 Mixpanel 对其 API 产品（可通过 platform.openai.com 访问）的前端界面进行网络分析。此次泄露发生在 Mixpanel 的系统环境中，导致未经授权的第三方获得了对某些数据集的访问权限。

为什么要把这件事报道出来？

此次事件的沟通源于对透明度的追求。透明度被明确强调为重中之重。因此，即使此次攻击并未直接针对 OpenAI 的系统，我们也决定向用户通报事件情况。我们的目标是主动告知受影响的用户其数据可能存在泄露风险，即使这种风险被认为有限。

在此背景下，应该如何理解 OpenAI 和 Mixpanel 之间的关系？

在这种情况下，Mixpanel 作为第三方供应商。Mixpanel 的角色是为 OpenAI API 用户界面提供分析服务。这意味着 OpenAI 会向 Mixpanel 传输某些数据，或者委托 Mixpanel 收集某些数据，以便更好地了解或优化网站 platform.openai.com 的使用情况。因此，双方存在一种业务关系，其中数据处理外包给了外部合作伙伴。

对攻击序列和时间范围的详细分析

事件具体发生于何时？何时被发现？

2025年11月9日是发现此次攻击的关键日期。当天，Mixpanel发现攻击者未经授权访问了其部分系统。这标志着Mixpanel内部调查的开始，也是导致此次通报的一系列事件的起点。

OpenAI是如何以及何时得知此事的？

Mixpanel 于 2025 年 11 月 9 日检测到攻击后，OpenAI 被告知已启动调查。然而，在提供有关数据泄露范围的具体细节之前，已经过去了一段时间。直到 2025 年 11 月 25 日，Mixpanel 才将受影响的具体数据集分享给 OpenAI。因此，从发现攻击到最终确定受影响的 OpenAI 数据，大约间隔了 16 天。

在这次事件中，攻击者究竟做了什么？

攻击者不仅入侵了系统，还窃取了数据。文中描述了数据集的导出过程。该导出文件包含有限的客户身份信息以及分析数据。因此，这不仅仅是一次系统入侵，而是一次主动窃取Mixpanel环境中数据的行为。

受影响系统的界定

OpenAI的系统是否已被入侵？

这是风险评估中最重要的问题之一。答案显然是否定的。已明确声明，这并非OpenAI系统遭到入侵。OpenAI自身基础设施的完整性未受影响。此次事件仅限于服务提供商Mixpanel的环境。没有证据表明攻击者通过Mixpanel以外的途径访问了OpenAI的内部网络或服务器。

哪些关键数据肯定不受影响？

为了评估此次事件的严重程度，必须考虑哪些内容是安全的。已确认聊天记录未受影响。API 请求（即用户发送到界面的内容）也安全无虞。同样，API 使用数据也未泄露。对于账户安全至关重要的是，没有任何密码或登录凭证被泄露。对服务技术运行至关重要的 API 密钥也未受影响。支付详情等财务信息未被窃取。最后，可能用于身份验证的政府身份证明文件也不在泄露的数据范围内。

对受影响的数据类别进行专项调查

导出的数据集中可能包含哪些类型的信息？

受影响的数据集包含与 platform.openai.com 使用相关的用户个人资料信息。这些信息混合了个人标识符和技术元数据，通常是在网络分析过程中生成的。

用户名是否受到影响？

是的，存储在 API 账户中的名称是可能已被导出数据的一部分。这指的是 OpenAI 收到的账户名称。这是一个直接标识符，可以将受影响的账户与真实或法人实体关联起来。

邮箱地址是否已被盗用？

是的，与 API 账户关联的电子邮件地址也包含在受影响的数据中。姓名和电子邮件地址的组合本身就构成了一个重要的数据集，因为它能够直接联系和识别用户。

哪些位置相关信息会受到影响？

已导出用户的大致位置数据。此位置数据基于 API 用户的浏览器。该数据的精度为近似值，通常包含城市、州/省/地区和国家/地区。这并非精确的 GPS 坐标或确切的住宅地址，而是根据平台使用期间的技术连接数据推算出的位置信息。

泄露了哪些技术系统数据？

该数据集包含用于访问 API 帐户的操作系统和浏览器信息。这些信息通常被称为用户代理数据，它揭示了用户使用的是 Windows、macOS 还是 Linux 等操作系统，以及使用的是 Chrome、Firefox 还是 Safari 等浏览器。这些数据是分析服务优化网站性能的标准数据。

在此语境下，被推荐的网站指的是什么？

受影响的数据还包括所谓的引荐网站信息。这些网站是用户访问 OpenAI 平台的来源网站。因此，如果用户点击其他页面上的链接访问 platform.openai.com，则该来源地址可能会存储在 Mixpanel 的数据中，从而成为导出数据集的一部分。

内部识别号码是否被盗？

是的，与 API 账户关联的组织 ID 或用户 ID 也包含在内。这些 ID 是 OpenAI 用于管理其系统内账户和组织的内部标识符。虽然它们本身通常不会泄露敏感信息，但它们是重要的元数据，反映了用户群的结构。

我们在美国的业务发展、销售和营销方面的专业知识 - 图片：Xpert.Digital

行业重点：B2B、数字化（从AI到XR）、机械工程、物流、可再生能源和工业

更多相关信息请点击这里：

• Xpert 商业中心

具有见解和专业知识的主题中心：

• 全球和区域经济、创新和行业特定趋势的知识平台
• 收集我们重点领域的分析、推动力和背景信息
• 提供有关当前商业和技术发展的专业知识和信息的地方
• 为想要了解市场、数字化和行业创新的公司提供主题中心

OpenAI 的措施和反应

事件发生后，立即采取的技术应对措施是什么？

作为安全调查的一部分，OpenAI 已采取严厉措施。Mixpanel 已从生产服务中移除。这意味着与该服务提供商的连接已被切断，不再向 Mixpanel 发送任何数据。此举旨在立即控制风险，并确保在调查进行期间不会发生任何数据泄露。

受影响的数据是如何处理的？

OpenAI已对Mixpanel于11月25日共享的受影响数据集进行了全面审查。为了准确评估事件的影响范围，必须对数据集中包含的信息进行精确分析。此次分析为与客户沟通奠定了基础。

是否有任何合作来澄清情况？

是的，我们正与 Mixpanel 和其他合作伙伴紧密合作。此次合作的目标是全面了解事件经过。这不仅关乎了解发生了什么，更关乎掌握事件的全部影响范围。此次合作至关重要，它能确保所有信息漏洞都得到弥补，并最终完成根本原因分析。

受影响的人是否都单独被告知了？

OpenAI正在直接通知所有受影响的组织、管理员和用户。该公司并未仅发布一般性公告，而是专门针对那些数据实际包含在导出数据集中的用户。这凸显了其对透明度的承诺。

关于 Mixpanel 的长期决策是什么？

在对该事件进行调查后，OpenAI采取了一项明确的商业措施：停止使用Mixpanel。这是最终举措，表明此次安全事件已对双方的信任关系造成了不可挽回的损害，或者Mixpanel的安全标准已不再符合OpenAI的要求。

这将对更广泛的合作伙伴生态系统产生什么影响？

此次事件的影响远不止 Mixpanel 一家。OpenAI 目前正在对其整个供应商生态系统进行更广泛、更深入的安全审计。这意味着 OpenAI 合作的其他第三方供应商也将受到更严格的管控。此外，所有合作伙伴和供应商的安全要求都在提高。简而言之，OpenAI 正在全面收紧对外部服务提供商的安全准则，以防止未来发生类似事件。

用户风险分析及潜在危险

用户会因数据泄露面临哪些具体风险？

此次数据泄露的主要风险在于网络钓鱼和社会工程攻击。泄露的信息极易被用于策划和实施此类攻击。

为什么这些特定数据点对网络钓鱼构成危险？

由于包含了姓名、电子邮件地址以及特定的 OpenAI 元数据（例如用户 ID 或组织 ID），攻击者可以编写高度可信的邮件。攻击者可以发送一封包含用户真实姓名并提及用户具体使用 OpenAI API 的电子邮件。通过包含准确的信息，这种虚假邮件看起来比普通垃圾邮件更具可信度。了解 OpenAI API 的使用方式，使得犯罪分子能够冒充 OpenAI 并利用用户的信任。

在这个语境下，“社会工程”指的是什么？

社会工程攻击是指攻击者通过心理操控，试图诱使用户泄露机密信息或执行特定操作。攻击者掌握用户的位置、浏览器、操作系统和所属机构等信息后，可以构建一个听起来完全可信的场景，让受害者信以为真。例如，受害者可能会接到自称来自技术支持的电话或短信，对方声称可以解决用户特定浏览器或操作系统的问题。

Mixpanel 之外是否存在滥用行为的证据？

目前尚未发现Mixpanel环境之外的系统或数据受到影响的证据。尽管如此，OpenAI仍将密切监控事态发展，以便及早发现任何滥用迹象。这是一种预防措施，因为没有证据并不能保证绝对安全，保持警惕仍然十分必要。

行动建议和安全预防措施

用户在近期应该特别关注哪些方面？

用户务必对看似可信的网络钓鱼或垃圾邮件保持警惕。由于泄露的数据使得诈骗分子能够使用看似真实的欺骗手段，因此对收到的信息保持谨慎的态度至关重要。

如何处理意料之外的电子邮件？

对于意外收到的电子邮件或信息，务必保持警惕。尤其当这些邮件包含链接或附件时，更应如此。点击垃圾邮件中的链接是恶意软件入侵或登录凭证被盗的最常见途径之一。即使邮件内容乍看之下似乎合法，也应仔细审查。

如何验证来自 OpenAI 的消息的真实性？

务必仔细核实声称来自 OpenAI 的消息是否确实来自 OpenAI 的官方域名。攻击者经常使用与原域名非常相似但存在细微拼写错误或结尾不同的域名。因此，仔细检查发件人是保护自身安全的简单而有效的方法。

OpenAI 绝不会通过电子邮件向您询问哪些问题？

OpenAI 有着明确的沟通规则。该公司绝不会通过电子邮件、短信或聊天工具索取密码、API 密钥或验证码。如果您收到要求您透露此类敏感信息的消息，几乎可以肯定这是网络钓鱼攻击。了解这一原则是防范社交工程攻击的关键保障。

建议采取哪些技术措施来提高安全性？

为了进一步保护您的账户安全，建议您启用多重身份验证 (MFA)。MFA 会在您登录时，除了密码之外，要求您提供第二个验证因素，例如移动设备发送的验证码，从而增加一层额外的安全保障。即使攻击者通过网络钓鱼获取了您的密码，MFA 也能阻止其访问您的账户。

维护信任：OpenAI 实现最高数据安全之路

OpenAI的核心价值观是什么？

信任、安全和隐私被认为是OpenAI产品、组织和使命的基石。这些价值观构成了OpenAI与用户关系的基础。此次事件的处理旨在表明，即使在危机情况下，这些价值观仍然是指导原则。

如何界定对合作伙伴的责任？

OpenAI 要求其合作伙伴和供应商必须达到服务安全性和隐私性的最高标准，并要求他们承担相应的责任。如果合作伙伴未能达到这些高标准，或发生严重事件，将会受到相应的处罚，例如终止与 Mixpanel 的合作关系。仅仅自身安全是不够的，整个供应链也必须符合这些标准。

如何落实透明度义务？

即使公司自身系统未受影响，公司仍通过公开透明的方式就事件进行沟通，以此体现其对透明度的承诺。通知所有受影响的客户和用户，确保没有人对潜在风险一无所知。其目标是通过诚实来维护或重建信任。

最终想要传达给用户的信息是什么？

公司将产品的安全性和隐私性视为重中之重。公司始终致力于保护用户信息，并在出现任何问题时保持透明沟通。文章最后感谢用户一直以来的信任，并强调公司视与客户的关系为基于互信的伙伴关系。

☑️我们的业务语言是英语或德语

☑️ 新：用您的国家语言进行通信！

Konrad Wolfenstein

我很乐意作为个人顾问为您和我的团队提供服务。

您可以通过填写此处的联系表，或者直接致电+49 89 89 674 804 （慕尼黑）。我的电子邮件地址是： wolfenstein ∂ xpert.digital

我很期待我们的联合项目。

☑️ 为中小企业提供战略、咨询、规划和实施方面的支持

☑️ 创建或调整数字战略和数字化

☑️国际销售流程的扩展和优化

☑️ 全球数字 B2B 交易平台

☑️ 先锋业务发展/营销/公关/贸易展览会

受益于 Xpert.Digital 全面的五重专业知识和全面的服务包 | 研发、XR、PR 和数字可视性优化 - 图片：Xpert.Digital

Xpert.Digital 对各个行业都有深入的了解。 这使我们能够制定量身定制的策略，专门针对您特定细分市场的要求和挑战。 通过不断分析市场趋势并跟踪行业发展，我们可以前瞻性地采取行动并提供创新的解决方案。 通过经验和知识的结合，我们创造附加值并为客户提供决定性的竞争优势。

更多相关信息请点击这里：

• 在一个软件包中使用 Xpert.Digital 的 5 倍专业知识 - 每月仅需 500 欧元起