📋

Hechos Clave

  • Un usuario reportó acceder a videos de OpenAI Sora sin marcas de agua.
  • Los resultados de generación de video estuvieron listos en 1 segundo.
  • El usuario investigó la pestaña de red de la plataforma para encontrar la vulnerabilidad.
  • El usuario afirmó que los videos se almacenan en servidores en lugar de generarse bajo demanda.

Resumen Rápido

Un entusiasta de la tecnología reportó haber descubierto un método para acceder a videos generados por OpenAI Sora sin marcas de agua. El descubrimiento se realizó después de que el usuario observara que los tiempos de generación de video eran significativamente más rápidos de lo esperado, lo que llevó a la conclusión de que los archivos se almacenaban en servidores en lugar de generarse en tiempo real.

El usuario describió haber iniciado una investigación sobre el tráfico de red de la plataforma para identificar un hueco de seguridad. El informe sugiere que el usuario logró acceder directamente a los archivos de video. Este desarrollo se produce tras observar a individuos que vendían acceso a videos sin marcas de agua.

Descubrimiento de Velocidades de Generación Anómalas

La investigación comenzó cuando el investigador observó a individuos vendiendo acceso a videos de Sora careciendo de las marcas de agua estándar. Inicialmente, la suposición era que estos vendedores utilizaban aprendizaje automático combinado con edición manual, como Photoshop, para procesar fotogramas individuales. Sin embargo, al probar el proceso de generación personalmente, el usuario notó un detalle crítico respecto al tiempo de procesamiento.

El resultado del video estuvo listo en aproximadamente 1 segundo. Este rápido tiempo de entrega contradecía la hipótesis de la edición manual fotograma por fotograma. En consecuencia, el investigador concluyó que los archivos de video debían ser preexistentes en los servidores. Esta realización provocó un cambio en el enfoque, pasando del escepticismo a una investigación técnica activa.

El Proceso de Investigación 🕵️

Impulsado por lo que el usuario denominó un "instinto de hacker", el enfoque se centró en encontrar un agujero de seguridad en la plataforma. El investigador comenzó examinando la pestaña de Red del navegador. Esta herramienta de desarrollador estándar permite monitorear las solicitudes y respuestas de datos entre el usuario y el servidor.

La metodología implicó sondear sistemáticamente el tráfico de red. El usuario describió el proceso como la prueba de varios métodos de interacción con la interfaz para desencadenar respuestas de red específicas. Este enfoque se utiliza comúnmente para identificar puntos finales no asegurados o datos expuestos. El objetivo era localizar los enlaces directos a los archivos de video que se estaban sirviendo al usuario.

Implicaciones de los Archivos de Video Almacenados

El núcleo del descubrimiento se basa en la premisa de que OpenAI almacena el contenido generado en servidores accesibles. Si el proceso de generación tomó solo un segundo, implica que el video fue recuperado en lugar de renderizado desde cero. Esta distinción es vital para comprender la postura de seguridad de la plataforma.

Si los archivos se almacenan, se convierten en objetivos potenciales para accesos no autorizados. La capacidad del usuario para localizar estos archivos sugiere una falta de controles de acceso suficientes u ofuscación para los medios generados. Este incidente sirve como un estudio de caso sobre los riesgos asociados con los servicios de IA generativa basados en la nube donde la persistencia del contenido es necesaria para una entrega rápida.

Resolución y Herramientas 🛠️

El investigador concluyó la investigación documentando la vulnerabilidad. El usuario indicó que la solución implicaba identificar las solicitudes de red correctas para aislar las ubicaciones de los archivos de video. Este logro técnico permitió eludir el sistema de marcas de agua estándar.

Los detalles sobre la vulnerabilidad específica y las herramientas utilizadas fueron, según se informa, hechos públicos. El usuario mencionó un enlace a GitHub y un "producto listo para usar" al final de su informe original. Esto sugiere que el método puede ser reproducible por otros con habilidades técnicas similares.

"En ese momento me di cuenta: SIGNIFICA QUE LOS VIDEOS ESTÁN EN LOS SERVIDORES."

— Investigador

"Se despertó mi instinto de hacker y comencé a buscar el HUECO."

— Investigador