最近OpenAI迎来一周年,我也是意外发现OpenAI新账号不再需要验证手机号,只需要提交一个有效的邮箱即可通过注册,然而在登录到platform欲要打开API Keys访问权限时,仍然会被要求提交一个手机号码进行验证,验证规则与此前一致,不接受座机号码、虚拟号码、voip号码,以及不在支持范围内国家的手机号码,所以你仍然可以使用SMS-Activate等接码平台进行验证。
免验证手机号的新账号登录platform打开api keys时会被要求提交手机号进行验证
那么今天在这里我将分享一个偏门获取API Keys的方法,不保证方法能长期有效,只是暂时现在可以这么用,如果后续该方法不再有效,我会在本文进行提示。
让我们开始吧
我们以Firefox浏览器为例,直接在platfom网页空白点击鼠标右键,选择“检查”或直接按键盘的F12键调出“web开发者工具”,然后选择“网络”选项卡,如下:
Chrome和Edge浏览器也有类似的功能,但右击鼠标时弹出的文字以及开发者工具的语言会视操作系统和语言有些许差异,但大体上是相同的。
可以看到当前没有截获到请求,不用担心,点击重新加载即可。重新加载后,我们需要找到请求方法为“POST”,域名为“api.openai.com”,请求资源为“/dashboard/onboarding/login”的请求,单击它:
单击后,我们切换到该请求的“响应”选项卡:
然后在返回的json数据中,点击user前面的三角形展开数据,然后就可以找到“sensitive_id”的值了:
这串以sess-打头的key就是我们最终想获取到的API Key,验证一下,我们随便找一个部署了第三方“ChatGPT Next Web”的网站,填入我们自己的API Key:
然后就可以问一下问题了,如下,说明这串sess-打头的值是可以当作API Key使用
-_-! GPT-3.5还是不太聪明的样子。anyway,通过上图的询问,验证了该方法的可行性。
可能的问题
1、这样获取到的Key,有有效期吗?
有效期目前没发现,但看起来这有点像OpenAI颁发给UI用的,在用户登录platform后就会签发一份api_key出来,另外根据验证,这个key是单一颁发的,也就是说如果你目前已经有登录到platform,但如果以同样的账户在其他电脑登录platform,则原先获取到key会失效。
2、这样获取到的Key,会占用额度吗?会产生账单吗?
会!该方法毕竟不是系统级能绕开收费的漏洞,只是openai对key的使用没有做太大区分,因此仍然会占用额度,新账户在用完赠送的5美元之后,就会产生账单。这时候如果你需要保留账户不被封掉,那就需要绑定信用卡支付这笔账单。
3、能用多久?是漏洞吗?
严格来说,当然是漏洞了。能用多久这个真就不知道了。
最后
不难看出这个方法其实是openai对apikey的使用没有做严格区分导致的,在开发者看来,这个sess-打头的api key是后端颁发给前端页面交互用的。我们只是想绕过手机号验证而将它作为第三方可调用的key使用,但这也不算什么非法的具有破坏性的行为。当然了,如果你认为这种行为是可耻的,那你大可通过绑定手机号验证通过后得到API Key。
您也可以联系文章作者本人进行修改,若内容侵权或非法,可以联系我们进行处理。
任何个人或组织,转载、发布本站文章到任何网站、书籍等各类媒体平台,必须在文末署名文章出处并链接到本站相应文章的URL地址。
本站文章如转载自其他网站,会在文末署名原文出处及原文URL的跳转链接,如有遗漏,烦请告知修正。
如若本站文章侵犯了原著者的合法权益,亦可联系我们进行处理。
![表情[xiaojiujie] - EVLIT](https://cdn.evlit.com/wp-content/themes/zibll/img/smilies/xiaojiujie.gif)
暂无评论内容