OpenAI 這次不是在推新模型,而是在重寫 ChatGPT 帳號的進出規則。它推出 Advanced Account Security,讓高風險或想要最高防護的使用者改用 passkey 或實體安全金鑰登入,並把這套保護一路延伸到 Codex。這種產品更新看起來安靜,實際上卻很像把「AI 帳號」正式升級成高價值資產:一旦帳號裡面放的是工作紀錄、研究線索、個人問題與開發流程,登入方式就不再只是方便與否,而是信任邊界要畫在哪裡。
最值得注意的,是 OpenAI 沒有只加一層防護,而是連 recovery 都一起收緊。啟用後,密碼登入會關掉,Email 和簡訊復原也會被停用,支持人員不能再替你把帳號找回來。這表示它把風險判斷說得很直白:如果你要更強的釣魚防護,就要接受更高的自我管理責任。對一般人來說,這可能只是多一個步驟;對記者、政治人物、研究者,或任何把 AI 當工作中樞的人來說,這已經是日常操作的一部分。
OpenAI 同時和 Yubico 合作,推出客製化 YubiKey 組合,等於把硬體金鑰從企業安全術語,直接搬進消費者產品體驗。這件事的訊號不只在於「更安全」,而是 AI 服務正在變成新的身份層。當模型本身越來越像入口,攻擊者真正想拿走的,往往不是單次對話,而是整串權限、上下文與工作流程。這也是為什麼這則消息不該只被看成安全公告;它更像是平台在提醒市場,接下來競爭的不只是模型能力,還有誰能把帳號治理做得更穩。
這裡有個很現實的代價:越強的防護,越容易把人鎖在門外。雙重驗證、恢復金鑰、備援金鑰,這些詞聽起來都很正確,但一旦使用者丟了裝置、忘了備份,麻煩就會非常真實。也因此,這種產品設計最終考驗的不只是安全團隊,而是整個 UX 是否真的能讓人把金鑰管理好。AI 工具愈來愈像工作平台,帳號安全也就不再只是 IT 項目,而是使用者能不能持續用下去的前提。
對企業或重度使用者來說,現在最該做的不是先問要不要開,而是先確認兩件事:備援金鑰放在哪裡、帳號遺失時誰有權處理。等你把這些想清楚,再去看 OpenAI 這次的更新,就會發現它其實是在定義下一階段的 AI 使用秩序。
參考來源:
- OpenAI Introducing Advanced Account Security https://openai.com/index/advanced-account-security/
- Yubico OpenAI and Yubico partner to bring custom phishing-resistant YubiKeys to OpenAI users https://investors.yubico.com/en/wp-content/uploads/sites/2/2021/10/press-release-openai-and-yubico-partner-to-bring-custom-phishing-resistant-yubikeys-to-openai-users-260430.pdf
- Yahoo Tech OpenAI’s Advanced Account Protection Dumps Passwords for Security Keys https://tech.yahoo.com/ai/chatgpt/articles/openais-advanced-account-protection-dumps-170000028.html
- Decrypt OpenAI Rolls Out Advanced Account Security for ChatGPT Users https://decrypt.co/366262/openai-advanced-account-security-chatgpt-users