iOSのChatGPTサブスクリプションシステムにセキュリティ脆弱性が確認され、Apple Payの領収書を複数のアカウントで再利用できることが判明しました。開発者のBugstoOaiはOpenAIの開発者コミュニティでこの問題を報告し、システムが領収書の真正性は検証するものの、購入に関連するApple IDを確認していないという欠陥を指摘しました。この抜け穴により、同じ領収書を使って異なるアカウントでChatGPT Plusのサブスクリプションを有効化することが可能になります。 この脆弱性はChatGPTのiOSアプリおよびバックエンドのエンドポイント`/backend-api/subscription/upgrade`に影響を及ぼします。対策としては、領収書を購入者の身元に紐付けることや、取引IDの繰り返し使用を監視することが推奨されています。完全な実証はされておらず、報告は独立して検証されていません。また、OpenAIはこの主張に対してまだ回答をしていません。