ChatGPT : comment des internautes utilisent gratuitement GPT-4
Des internautes ont trouvé un moyen pour utiliser GPT-4, la dernière version de ChatGPT, sans passer à la caisse. Sur des serveurs Discord ou Reddit, ils expliquent s’appuyer sur les comptes des utilisateurs payants… Explications.
De nombreux internautes offrent des accès volés à GPT-4, révèle une enquête de Vice. Sur des plates-formes comme Discord ou Reddit, des comptes clients détournés sont massivement partagés. D’après le média, il s’agit de comptes de développeurs ayant souscrit à l’interface de programmation. C’est par le biais de cette interface, payante, que des entreprises, comme Snapchat, ont pu lancer leur propre déclinaison de ChatGPT au cours des derniers mois. Moyennant finance, ils obtiennent une clé API (Application Programming Interface) qui permet d’accéder aux outils d’OpenAI.
À lire aussi : pourquoi ChatGPT, Bard et les autres IA ont un gros problème
Explosion des frais d’utilisation
Sur un serveur Discord, on trouve notamment un compte avec une limite d’utilisation de 150 000 dollars, lié à la carte de crédit du propriétaire, offert gratuitement aux membres. Sur le compte du développeur, les internautes peuvent donc poser des questions à GPT-4 ou s’en servir pour animer d’autres outils en ligne. C’est d’ailleurs de cette manière que g4f, l’initiative qui offre l’accès à GPT-4 gratuitement, fonctionne. Là encore, les interfaces mises à disposition des clients de la start-up ont été détournées.
Notez qu’OpenAI facture les frais d’API en fonction de l’utilisation de ChatGPT. Plus des internautes exploitent une clé API piratée, plus la facture du titulaire du compte sera salée. C’est pourquoi la société américaine recommande à ses clients de bien veiller à ce que leur clé ne tombe pas entre les mains d’autrui :
« N’oubliez pas que votre clé API est un secret ! Ne le partagez pas avec d’autres et ne l’exposez pas dans du code côté client (navigateurs, applications) ».
Lors de son enquête, Vice s’est d’ailleurs rendu compte que les frais d’utilisation de certains comptes, détournés par des utilisateurs Reddit ou Discord, ont progressivement grimpé ces dernières semaines. Un serveur Discord, baptisé Discodtehe, serait responsable d’une grande partie des détournements constatés. Sur ce serveur, les internautes partagent massivement des clés API avec leur communauté.
La bourde des développeurs
Pour obtenir ces clés API, les internautes expliquent s’être appuyés sur la méthode du « scraping ». Évoluant dans une zone grise de la législation, ce procédé permet d’extraire des données publiques d’un site web grâce à des programmes automatisés. Apparemment, une partie des clés détournées ont été dénichées dans du code source accessible en ligne, sur des plates-formes collaboratives, comme Replit. Contactée par Vice, la plate-forme explique que les projets réalisés sur Replit sont publics par défaut. Un hacker est donc libre de s’emparer des données à l’aide d’un logiciel de scraping. Pour Replit, il n’est pas de son ressort de lutter contre ce problème :
« En fin de compte, les utilisateurs sont responsables de la sauvegarde de leurs propres clés et ne devraient pas les stocker dans du code public ».
Les clients ne se sont vraisemblablement pas rendu compte que leur accès ChatGPT était glissé dans les lignes de code publiques. Face à l’essor du vol de clés API, Replit a consenti à examiner son système « pour s’assurer que les utilisateurs sont conscients de l’exposition accidentelle de leurs clés ChatGPT ». Si une API est identifiée dans un projet public, la plate-forme pourrait entrer en contact avec les développeurs distraits.
De son côté, OpenAI explique prendre des mesures fortes pour empêcher le vol de clés ChatGPT. La start-up affirme effectuer « des analyses automatisées des grands référentiels ouverts et nous révoquons toutes les clés OpenAI découvertes ». Si vous estimez que votre accès a été divulgué, la start-up conseille de supprimer celui-ci et de générer une nouvelle clé.
Certains internautes, membres de Discodtehe, ne sont pas fiers de leurs pratiques. Interrogé par Vice, un utilisateur regrette que la communauté soit prête « à voler des gens ordinaires qui ont posté leurs clés par erreur ». Moins préoccupés par l’impact de leur astuce sur les propriétaires de compte, d’autres usagers estiment tout simplement qu’OpenAI « paiera la facture » si un problème de vol d’API est à l’origine d’un surcoût…
Source : Vice
Source: 01net