Пошуковий робот ChatGPT можуть використовувати для DDoS-атак
Кроулер (пошуковий робот) ChatGPT, який виконує HTTP-запит, скануючи зміст веб-сайтів для подальшого формулювання відповіді користувачу, може використовуватись для DDoS-атак. До такого висновку прийшов німецький експерт з кібербезпеки Бенджамін Флеш, повідомляє The Register.
У своїй статті, опублікованій на GitHub, Флеш пише, що один HTTP-запит до ChatGPT API можна використовувати для переповнення цільового веб-сайту мережевими запитами від одного з пошукових роботів чат-боту — ChatGPT-User.
Хоча для потужної атаки цього буде недостатньо, подібна можливість все одно становить небезпеку і є серйозною помилкою з боку OpenAI. Лише один API-запит можна «розігнати» до 20–5000 і більше запитів на сайт щосекунди, знову і знову.
«ChatGPT API демонструє серйозний дефект якості під час обробки запитів HTTP POST до https://chatgpt.com/backend-api/attributions», — пояснює дослідник.
Загальновідомо, що гіперпосилання на той самий веб-сайт можна записати багатьма різними способами. Через неправильну практику програмування OpenAI не перевіряє, чи гіперпосилання на той самий ресурс з’являється в списку кілька разів. OpenAI також не обмежує максимальну кількість гіперпосилань, що зберігаються в параметрі urls, що дозволяє передавати багато тисяч гіперпосилань в одному запиті HTTP. Залежно від кількості гіперпосилань, переданих до OpenAI через параметр urls, велика кількість підключень з серверів OpenAI може перевантажити сайт-жертву.
«Жертва ніколи не дізнається, що її спіткало, тому що вона бачить, як бот ChatGPT вражає її сайт одночасно з приблизно 20 різних IP-адрес. Навіть, що якщо жертва ввімкне брандмауер для блокування діапазону IP-адрес, який використовується роботом ChatGPT, бот все одно буде надсилати запити», — додав Флеш.
Німецький експерт закликає фахівців компанії OpenAI якнайшвидше виправити дефект. Хоча випадків використання цієї вразливості для атак поки не було помічено, сам факт її наявності демонструє відсутність процесів належного контролю якості в розробці програмного забезпечення OpenAI.
Google додає роз'яснення щодо свого майбутнього плану посилити контроль над екосистемою Android. Починаючи з березня…
Хакерське угруповання APT28 (також відоме як Fancy Bear або Strontium), яке пов’язують із російським ГРУ,…
OpenAI планує об'єднати свій додаток ChatGPT, платформу кодування Codex та браузер в одну «суперпрограму» для…
У США добігає кінця перший в історії судовий процес за шахрайство з музичним стрімінгом за…
Xiaomi Labs офіційно представила MiMo-V2-Pro — свою флагманську LLM-модель, яка має 1 трильйон параметрів. Бенчмарки…
Віртуальний всесвіт Horizon Worlds стане недоступним через VR-гарнітуру після 15 червня 2026 року. У лютому…