用户向 OpenAI 报告Apple Pay收据验证漏洞:可无限激活Plus订阅
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内,并且不需要特定的开头。首先,我得仔细阅读用户提供的文章内容。 文章主要讲的是iOS版ChatGPT应用中存在一个逻辑漏洞。具体来说,OpenAI在验证Apple Pay收据时,虽然检查了加密的真实性,但没有验证购买者的Apple ID是否与接收Plus升级的账户匹配。这意味着只要有有效的已付款收据,就可以在任何账户上激活ChatGPT Plus,而不管原始购买者是谁。 这个漏洞带来的影响是,只需一份约2.5-3美元的收据,就能在无限数量的账户上激活Plus服务。这不仅导致收入损失,还可能引发不公平的系统滥用。文章还建议了一些缓解措施,比如将收据绑定到购买者身份、限制收据只能使用一次,以及添加设备或账户指纹识别。 接下来,我需要将这些信息浓缩到100字以内。首先确定关键点:漏洞的位置、问题所在、影响以及建议的解决方案。然后用简洁的语言把这些点连贯起来。 可能的结构是:先说明漏洞的存在和问题,接着描述影响,最后提到缓解措施。这样既全面又简洁。 现在试着组织语言:“iOS版ChatGPT应用存在逻辑漏洞:OpenAI未验证Apple Pay收据与购买者Apple ID匹配。这导致有效收据可在任何账户激活Plus服务,只需约2.5-3美元即可无限激活,造成收入损失和滥用风险。建议措施包括绑定身份、限制单次使用及指纹识别。” 检查一下字数是否在100字以内,并且没有使用“文章内容总结”之类的开头。看起来符合要求。 </think> iOS版ChatGPT应用存在逻辑漏洞:OpenAI未验证Apple Pay收据与购买者Apple ID匹配。这导致有效收据可在任何账户激活Plus服务,只需约2.5-3美元即可无限激活,造成收入损失和滥用风险。建议措施包括绑定身份、限制单次使用及指纹识别。 2026-4-19 06:43:3 Author: blog.upx8.com(查看原文) 阅读量:21 收藏

该报告称:iOS ChatGPT 应用的订阅验证流程中存在一个逻辑漏洞,OpenAI 的后端验证 Apple Pay 收据的加密真实性,但并未验证购买收据的 Apple ID 是否与接收 Plus 升级的 OpenAI 帐户匹配。

这样一来,无论原始购买者的身份如何,都可以使用有效的已付款收据在任何OpenAI 帐户上激活 ChatGPT Plus。

利用此漏洞,只需一份付费收据(约2.5-3美元),即可在无限数量的帐户上激活Plus,导致收入损失和不公平的系统滥用。建议的缓解措施包括将收据绑定到购买者身份、实施收据单次使用策略,以及添加设备/帐户指纹识别。

—— OpenAI开发者社区


文章来源: https://blog.upx8.com/%E7%94%A8%E6%88%B7%E5%90%91-OpenAI-%E6%8A%A5%E5%91%8AApple-Pay%E6%94%B6%E6%8D%AE%E9%AA%8C%E8%AF%81%E6%BC%8F%E6%B4%9E-%E5%8F%AF%E6%97%A0%E9%99%90%E6%BF%80%E6%B4%BBPlus%E8%AE%A2%E9%98%85
如有侵权请联系:admin#unsafe.sh