Пошуковий робот ChatGPT можуть використовувати для DDoS-атак

Кроулер (пошуковий робот) ChatGPT, який виконує HTTP-запит, скануючи зміст веб-сайтів для подальшого формулювання відповіді користувачу, може використовуватись для DDoS-атак. До такого висновку прийшов німецький експерт з кібербезпеки Бенджамін Флеш, повідомляє The Register.

У своїй статті, опублікованій на GitHub, Флеш пише, що один HTTP-запит до ChatGPT API можна використовувати для переповнення цільового веб-сайту мережевими запитами від одного з пошукових роботів чат-боту — ChatGPT-User.

Хоча для потужної атаки цього буде недостатньо, подібна можливість все одно становить небезпеку і є серйозною помилкою з боку OpenAI. Лише один API-запит можна «розігнати» до 20–5000 і більше запитів на сайт щосекунди, знову і знову.

«ChatGPT API демонструє серйозний дефект якості під час обробки запитів HTTP POST до https://chatgpt.com/backend-api/attributions», — пояснює дослідник.

Загальновідомо, що гіперпосилання на той самий веб-сайт можна записати багатьма різними способами. Через неправильну практику програмування OpenAI не перевіряє, чи гіперпосилання на той самий ресурс з’являється в списку кілька разів. OpenAI також не обмежує максимальну кількість гіперпосилань, що зберігаються в параметрі urls, що дозволяє передавати багато тисяч гіперпосилань в одному запиті HTTP. Залежно від кількості гіперпосилань, переданих до OpenAI через параметр urls, велика кількість підключень з серверів OpenAI може перевантажити сайт-жертву.

«Жертва ніколи не дізнається, що її спіткало, тому що вона бачить, як бот ChatGPT вражає її сайт одночасно з приблизно 20 різних IP-адрес. Навіть, що якщо жертва ввімкне брандмауер для блокування діапазону IP-адрес, який використовується роботом ChatGPT, бот все одно буде надсилати запити», — додав Флеш.

Німецький експерт закликає фахівців компанії OpenAI якнайшвидше виправити дефект. Хоча випадків використання цієї вразливості для атак поки не було помічено, сам факт її наявності демонструє відсутність процесів належного контролю якості в розробці програмного забезпечення OpenAI.