还在用开源软件搭建ChatGPT网站？小心别人花你的钱！

自从OpenAI提供了GPT的API后，很多同学用一款开源软件搭建自己的chatGPT网站。

这款开源软件是ChatGPT-web，网址是：

https://github.com/Chanzhaoyu/chatgpt-web

搭建好以后，界面大概就是这个样子：

但是，如果在缺省情况下使用这个软件，一不小心（是说你不会设置），就会被人扫描到，并且会被人无偿使用。

很多网站维护者已经纷纷中招，他们发现，自己搭的chatGPT，自己还没有怎么用，已经被别人重度使用了，每天的API费用都达到了好几美元。

原因就是他的网站被人发现了，并且被很多人免费使用了。

别人是如何发现这种网站的？

互联网上有一些网络资产搜索引擎（有人称其为“网络空间测绘”），通过指定拟搜索网站的title信息、域名信息、IP信息、端口和协议信息、header信息、html正文信息、banner信息、城市信息、证书信息等等，可以对互联网上的信息资产进行非常便利的搜索，比如可以搜索含特定标题的网页，搜索某软件在互联网的部署情况，并可做到全网的漏洞扫描。

这些引擎中最知名的有FOFA¹和shodan²。

使用这些搜索引擎，你能找到几乎所有和互联网相关联的资产，因为这些搜索引擎，几乎一刻不停地在互联网上搜索着各种服务器、路由器、智能设备、摄像头、打印机等等，这样，用户搜索时，就能迅速返回搜索结果。

真正可怕之处在于，很多在互联网上网站或设备并没有安全防御措施，所以别人搜索到了，就可以很轻松地进入。

chatGPT-web这个开源软件，其前端首页的Title默认是：ChatGPT Web

那么在资产搜索引擎里，搜索title是ChatGPT Web的网站，就可以发现使用这个开源项目的网站了。

可以看到，在1秒多的时间内，就搜索到了2万多个这样的网站。

如果这些网站没有口令保护（缺省是没有的，除非去设置），扫描者就可以直接使用不花钱的chatGPT了。

如何防范

其实在chatGPT-web的README中，说明了这个问题，只不过很多使用者把所有精力都放在了怎么让网站转起来，而没有细看这些安全说明。

如果你真的用的，现在改还来得及，毕竟，能少损失一点少损失一点。

1、在前端的index.html文件中，将title修改为别的，一定不要含有ChatGPT的字样。

2、在配置文件中，设置AUTH_SECRET_KEY，给网页增加访问口令。

如果是自己构建后端，在在service目录下的.env文件中设置AUTH_SECRET_KEY。

如果用的是Docker Compose，在docker-compose目录下的docker-compose.yml文件中设置。

加上口令验证后，网页就会变成这样：

这样就会好很多，至少可以拦截大量的一般尝试者。

结语

所以，网站维护者一定要有最基本的安全意识，你以为别人发现不了你，其实别人早就发现你，并且利用你了。

软件开发者则应该考虑，如何让软件的缺省安装是安全的，比如让程序自动生成不同的Title，自动生成缺省的口令等等，而不是等着用户去设置。

你可以说，我是开源的，我没有这义务，你用不好是你自己的事，但是，如果你做的好，你的声誉会很好。

因为使用者，往往就是傻瓜式安装，他们懒得改任何东西。

网站可能还会有其他问题，就看攻击者是不是有心了，此处不赘述。有兴趣可以看看此文：《使用国内私人部署ChatGPT风险分析》³

文｜卫剑钒

1. https://fofa.info 

2. https://www.shodan.io 

3. https://www.freebuf.com/articles/network/366740.html 

推荐阅读

• ChatGPT Plus 首批70个插件最全解读
  
• 终于有本书讲清了ChatGPT和AIGC的前世今生！
  
• ChatGPT官方APP上线：速度极快且免费、增加语音识别！
  

你好，我是程序猿DD，10年开发老司机、阿里云MVP、腾讯云TVP、出过书创过业、国企4年互联网6年。从普通开发到架构师、再到合伙人。一路过来，给我最深的感受就是一定要不断学习并关注前沿。只要你能坚持下来，多思考、少抱怨、勤动手，就很容易实现弯道超车！所以，不要问我现在干什么是否来得及。如果你看好一个事情，一定是坚持了才能看到希望，而不是看到希望才去坚持。相信我，只要坚持下来，你一定比现在更好！如果你还没什么方向，可以先关注我，这里会经常分享一些前沿资讯，帮你积累弯道超车的资本。