2025年11月26日

关于最近 Mixpanel 安全事件的必知事项

2025 年 12 月 19 日澄清：我们将更新博客，进一步说明受影响用户的范围。原博客称受影响的是“API 用户”，现补充说明：“这也影响到少量提交过帮助中心工单，或曾登录 platform.openai.com⁠（在新窗口中打开）的 ChatGPT 用户。”这些受影响的用户已在最初联系用户时同步完成识别并通知。除上述澄清外，我们对本次事件的认知（包括涉及的信息类型）没有变化。

透明度对我们至关重要，因此我们想向你告知数据分析提供商 Mixpanel 近期发生的一起安全事件。该公司曾是 OpenAI 的合作伙伴，为我们的 API 产品 (platform.openai.com⁠（在新窗口中打开）) 前端界面提供网络分析服务。

此事件发生在 Mixpanel 的系统中，仅涉及与部分 API 用户相关的少量分析数据。这也影响到少量提交过帮助中心工单，或曾登录 platform.openai.com 的 ChatGPT 用户。

这不是对 OpenAI 系统的安全攻击。没有聊天、API 请求、API 使用数据、密码、凭据、API 密钥、支付信息或政府 ID 被泄露或暴露。

事件经过

2025 年 11 月 9 日，Mixpanel 发现一名攻击者未经授权访问了其部分系统，并导出了包含有限客户身份识别信息和分析数据的数据集。Mixpanel 已告知 OpenAI 其正在展开调查，并于 2025 年 11 月 25 日向我们共享了受影响的数据集。

这对受影响的用户意味着什么

与 platform.openai.com⁠（在新窗口中打开）使用相关的用户个人资料信息可能已包含在从 Mixpanel 导出的数据中。可能受影响的信息范围仅限于：

账户中向我们提供的姓名/名称
与账户关联的邮箱地址
根据用户浏览器数据得出的大致位置（城市、州/省、国家/地区）
用于访问账户的操作系统与浏览器
引用网站
与账户关联的组织或用户 ID

我们的回应

作为安全调查的一部分，我们已从生产服务中移除 Mixpanel，审查了受影响的数据集，并与 Mixpanel 及其他合作伙伴紧密合作，全面了解事件及其范围。我们正在直接通知受影响的组织、管理员和用户。虽然我们尚未发现任何影响 Mixpanel 环境外部系统或数据的证据，但我们会继续密切监控任何滥用的迹象。

信任、安全和隐私是我们产品、组织及使命的基石。我们始终坚守透明度原则，目前已向所有受影响的客户和用户发出通知。我们同样要求合作伙伴和供应商对其服务的安全与隐私承担最高标准的责任。在审查该事件后，OpenAI 已终止了对 Mixpanel 的使用。

除了 Mixpanel，我们正在对供应商生态系统进行额外和扩大的安全审查，并提升所有合作伙伴和供应商的安全要求。

你应记住的事项

这些受影响的信息可能被用于针对你或你组织的网络钓鱼或社会工程学攻击。

由于包含姓名、电子邮件地址和 OpenAI API 元数据（如用户 ID），我们鼓励你保持警惕，防范可信度高的钓鱼尝试或垃圾邮件。作为提醒：

请谨慎对待陌生邮件或信息，尤其是包含链接或附件的内容。
仔细核实任何声称来自 OpenAI 的消息是否来自 OpenAI 官方域名。
OpenAI 不会通过邮件、短信或聊天方式索要密码、API 密钥或验证码。
通过启用多因素身份验证⁠（在新窗口中打开）进一步保护你的帐户。

我们产品的安全与隐私至关重要，我们始终致力于保护你的信息，并在问题出现时透明沟通。感谢你一直以来对我们的信任。

OpenAI

常见问题解答

此前 OpenAI 为何选择使用 Mixpanel？

我们使用 Mixpanel 作为第三方网站分析服务商，帮助我们了解 API 产品（platform.openai.com）的使用情况，并改进相关服务。对于少量通过帮助中心提交过工单，或曾登录 platform.openai.com 的 ChatGPT 用户，其上述信息可能已被 Mixpanel 记录。这些用户已在当时被识别并已收到通知。

这是由 OpenAI 系统中的漏洞导致的吗？