我最近无意中发现一件事，让我对“安全”这个话题产生了些思考。原来，作为技术前沿公司的 OpenAI，他们在 ChatGPT 的代码沙盒中竟然还在使用较旧的 Python 版本（3.11）。要知道，Python 3.11 是在 2022 年 10 月 24 日发布的，到现在差不多已经快三年了！这可不是个无关紧要的小细节。想想看，从那以后 Python 的新版本中已经修复了不少安全漏洞——还继续使用旧版本，确实让人有点担心。

关于python3.11

Python 3.11 虽然在首次亮相时是一个强大的版本，但后来已被 Python 3.12 和即将推出的版本所取代,每个新版本不仅带来了性能改进和新功能，还带来了解决新发现漏洞的关键安全补丁,依赖旧版本意味着故意使用未修补的安全漏洞进行作。

Python 3.11 的漏洞态势

运行过时的 Python 版本会使系统面临一系列已知漏洞,以下是可能影响 OpenAI 的 ChatGPT 沙盒等系统的两个突出示例：

1. 路径遍历漏洞 （CVE-2023-41105）

Python 3.11 存在一个问题，即某些构建的文件路径可能会诱骗系统访问未经授权的文件, 这很严重，因为它可能允许某人绕过安全检查并访问他们不应该访问的文件。

2. 正则表达式拒绝服务 （DoS） 漏洞

Python 3.11 中的另一组问题与它如何处理某些复杂的正则表达式有关,如果攻击者发送特制的输入，则可能会使系统消耗大量计算能力，从而可能减慢服务速度甚至崩溃,在像 ChatGPT 的沙盒这样的共享环境中，这对每个人来说都是一件大事。

“使用过时的软件版本，尤其是在面向公众的服务中，就像前门没有上锁一样,即使直接威胁并不明显，它也会显著增加已知漏洞的攻击面。— 网络安全专家

对信任和安全意识的影响

当像 OpenAI 这样处于 AI 开发并处理敏感用户数据和代码前沿的公司使用具有已知漏洞的过时软件时，不可避免地会引发问题。

• 安全态势：这是否表明维护其基础设施安全性的方法松懈？

• 数据隐私：如果他们不勤于基本的软件更新，这对处理在其 AI 模型中处理的用户隐私和机密数据意味着什么？

• 透明度：用户是否应该了解底层软件版本及其在执行代码的环境中的相关风险？

OpenAI 对安全和负责任的 AI 开发的承诺经常被强调,但是，确保底层基础设施的安全性和最新性是这一承诺的一个基本方面,在用户可以执行代码的 ChatGPT 沙箱等关键环境中运行旧的 Python 版本，直接与最佳安全实践相矛盾。

AI 悖论

领先的 AI 公司在模型方面以极快的速度进行创新，但有时会忽视其运营环境中的基本网络安全 ,这就产生了一个悖论，即尖端技术在脆弱的基础上运行。

为什么会延迟更新python版本？

OpenAI 没有更新其 Python 版本可能有几个原因：• 稳定性问题：升级核心基础设施可能会引入回归或破坏现有功能，尤其是在复杂系统中。• 资源配置：开发团队可能优先进行新功能开发，而不是基础设施升级。• 测试开销：全面测试新的 Python 版本及其对大型 AI 系统的影响可能非常耗时且耗费大量资源。

虽然这些是合理的运营考虑，但它们并不能否定安全风险,主动的补丁管理方法对于任何组织都至关重要，尤其是像 OpenAI 这样处理数据量和敏感性的组织。

最后：呼吁提高警惕

OpenAI 在其 ChatGPT 沙盒中使用较旧的 Python 3.11 版本清楚地提醒我们，即使是行业领导者在其安全实践中也可能存在盲点,虽然他们的 AI 模型具有开创性，但它们运行的基础也必须满足最高的安全标准。

对于用户来说，这提出了一个重要的问题：如果忽视了基本的软件更新，我们对更广泛的隐私和安全措施有多大信心来保护我们在他们平台内的交互和数据？它呼吁所有 AI 提供商提高警惕性和透明度，并重新关注基本的网络安全实践。

更多相关技术内容咨询欢迎前往并持续关注好学星城论坛了解详情。

想高效系统的学习Python编程语言，推荐大家关注一个微信公众号：Python编程学习圈。每天分享行业资讯、技术干货供大家阅读，关注即可免费领取整套Python入门到进阶的学习资料以及教程，感兴趣的小伙伴赶紧行动起来吧。