2025年11月26日

有關近期 Mixpanel 安全事件須知

2025 年 12 月 19 日澄清：我們正在更新部落格，以澄清受影響用戶的描述。原部落格中提及「API 用戶」受到影響。現已更新，以新增：「這亦影響少數提交了幫助中心工單或登入 platform.openai.com⁠（在新視窗中開啟） 的 ChatGPT 用戶。」所有受影響用戶已在最初通知用戶時同時識別並通知。除了此澄清外，我們對事件的了解（包括所涉及的資訊類型）概無其他改變。

我們十分重視透明度，因此希望向你通報近期一宗 Mixpanel 安全事件的情況。Mixpanel 是 OpenAI 用於我們旗下 API 產品 (platform.openai.com⁠（在新視窗中開啟）) 前端介面網絡分析的數據分析服務供應商。

事件發生在 Mixpanel 系統內，涉及與某些 API 用戶相關的有限分析數據。這亦影響少數提交了幫助中心工單或登入 platform.openai.com 的 ChatGPT 用戶。

這不是 OpenAI 系統的安全漏洞。事件中沒有聊天、API 請求、API 使用數據、密碼、憑證、API 金鑰、付款資料或政府身份證外洩或暴露。

具體發生情況

2025 年 11 月 9 日，Mixpanel 發現有攻擊者未經授權存取其部分系統，並匯出了一個包含有限客戶識別資料和分析資訊的數據集。Mixpanel 通知 OpenAI 指其已展開調查，並於 2025 年 11 月 25 日向我們分享了受影響的數據集。

對涉事用戶的影響

與使用 platform.openai.com⁠（在新視窗中開啟）相關的用戶設定檔資料，可能已包括在從 Mixpanel 匯出的數據中。可能受影響的資料僅限於：

在帳戶中提供給我們的姓名
與帳戶相關聯的電郵地址
根據用戶瀏覽器的大概位置（城市、省/州、國家）
用於存取帳戶的作業系統和瀏覽器
推薦網站
與帳戶相關聯的組織或用戶 ID

我們的回應

作為我們安全調查的一部分，我們已從正式服務中移除 Mixpanel、審核受影響的數據集，並與 Mixpanel 及其他合作夥伴密切合作，以全面了解事件及其影響範圍。我們正直接通知受影響的組織、管理員和用戶。雖未發現任何影響 Mixpanel 環境以外系統或數據的證據，但我們會繼續密切監察任何不當使用跡象。

信任、安全和私隱乃我們產品、組織及使命的根基。我們致力保持透明，並正通知所有受影響客戶和用戶。我們亦要求合作夥伴與供應商，對其服務的安全和私隱承擔最高責任標準。在審查此事件後，OpenAI 已終止使用 Mixpanel。

除了 Mixpanel 外，我們亦正對供應商體系展開額外及擴展的安全審查，並提升對所有合作夥伴與供應商的安全要求。

應注意事項

此處所列的懷疑受影響資料，可能會被用於對你或貴組織發動網絡釣魚詐騙或社會工程攻擊。

由於資料中涵蓋姓名、電郵地址和 OpenAI API 元數據（例如用戶 ID），因此我們建議你對看似可信的網絡釣魚詐騙或垃圾電郵保持警惕。鄭重提醒：

應審慎對待非預期的電郵或訊息，尤其是當中載有連結或附件時。
請再三核對任何聲稱來自 OpenAI 的訊息，是否來自官方的 OpenAI 網域。
OpenAI 不會透過電郵、短訊或聊天，向你索取密碼、API 金鑰或驗證碼。
啟用多重身分驗證⁠（在新視窗中開啟）以進一步保障你的帳戶安全。

我們的產品安全和私隱至關重要，我們堅決保護你的資料，並在發生問題後致力保持公開透明的溝通。感謝你一直以來對我們的信任。

OpenAI

常見問題

OpenAI 為何選用 Mixpanel？

我們之前選用 Mixpanel 作為第三方網絡分析服務供應商，以協助我們了解產品使用情況，並改善我們 API 產品 (platform.openai.com) 的服務。少數 ChatGPT 用戶在透過幫助中心提交工單或登入 platform.openai.com 時，其上述資訊可能已被 Mixpanel 記錄。這些用戶在當時已識別並已經接獲通知。

事件是否由 OpenAI 系統的安全漏洞引起？