Краулер OpenAI ChatGPT можно использовать для DDoS-атак

2025-01-20 21:17

На GitHub Microsoft была опубликована статья ИБ-специалиста Бенджамина Флеша (Benjamin Flesch), который рассказал, что всего один HTTP-запрос к API ChatGPT может использоваться для DDoS-атаки на целевой сайт. Атака будет исходить от краулера ChatGPT (а именно ChatGPT-User).

Флеш пишет, что атака получается не особенно мощной, но все равно представляет угрозу и свидетельствует о явном просчете, допущенном разработчиками OpenAI. Так, всего один API-запрос можно «разогнать» до 20–5000 и более запросов к сайту жертвы в секунду.

«API ChatGPT имеет серьезный недостаток, связанный с обработкой HTTP POST-запросов к https://chatgpt.com/backend-api/attributions», — поясняет Флеш.

Исследователь объясняет, что этот эндпоинт API используется для получения данных о веб-источниках, упомянутых в ответах бота. Когда ChatGPT ссылается на определенные сайты, он использует attributions со списком URL-адресов, по которым проходит краулер и собирает информацию. Если же передать API длинный список URL, немного отличающихся друг от друга, но указывающих на один и тот же ресурс, краулер начнет обращаться сразу ко всем.

«API ожидает список гиперссылок в параметре urls. Но очевидно, что ссылки на один сайт можно записать по-разному. Из-за плохого программирования OpenAI не проверяет, встречается ли ссылка на один и тот же ресурс несколько раз. Также OpenAI не ограничивает количество гиперссылок в параметре urls, что позволяет передавать тысячи ссылок в одном HTTP-запросе».

То есть злоумышленник может использовать Curl и отправить HTTP POST-запрос на эндпоинт ChatGPT (без какого-либо токена аутентификации), и серверы OpenAI в Microsoft Azure ответят, инициировав HTTP-запросы для каждой переданной в urls ссылки. Если все они указывают на один сайт, это может вызвать DDoS-эффект. Причем краулер, проксируемый Cloudflare, каждый раз будет заходить на сайт с нового IP-адреса.

«Жертва даже не поймет, что произошло, просто увидит запросы от бота ChatGPT с примерно 20 разных IP-адресов одновременно, — говорит Флеш и добавляет, что даже если жертва заблокирует диапазон IP-адресов, бот все равно продолжит отправлять запросы. — Один неудачный или заблокированный запрос не помешает боту ChatGPT снова обратиться к сайту всего через миллисекунду. Из-за этой амплификации злоумышленник может отправить всего несколько запросов к API ChatGPT, но жертва получит огромное количество запросов».

Флеш рассказывает, что сообщал об этой уязвимости по самым разным каналам (через платформу BugCrowd, на почту команды безопасности OpenAI, в Microsoft и на HackerOne), но так и не получил ответа.

Также специалист рассказал изданию The Register и о другой связанной проблеме. По его словам, тот же API оказался уязвим к инъекциям промптов. Эта проблема позволяет краулеру отвечать на запросы через тот же API attributions. То есть можно задавать чат-боту вопросы, и он будет отвечать на них, хотя его задача — просто извлекать данные с сайтов.

В беседе с журналистами исследователь выразил выражает недоумение тем, что в боте OpenAI не реализованы простые и надежные методы правильной дедупликации URL-адресов, а для размера списка отсутствуют ограничения. Также он задается вопросом, почему здесь не исправлены уязвимости, связанные с инъекциями промптов, которые давно устранены в основном интерфейсе ChatGPT.

«Мне кажется, этот API — тестовый проект ИИ-агентов ChatGPT, который должен парсить URL из предоставленных пользователем данных, а затем обращаться к Azure за информацией, — пишет специалист. — Но разве “ИИ-агент” не должен иметь встроенные защитные механизмы? Очевидно, что этот агент, обрабатывавший urls[], не учитывал возможное исчерпание ресурсов и не понимал, почему отправлять тысячи запросов в секунду на один домен — это плохая идея. Разве он не должен понимать, что victim.com/1 и victim.com/2 ведут на один и тот же сайт? И если victim.com/1 не отвечает, зачем тут же запрашивать victim.com/2? Ведь это базовые проверки, которые разработчики давно внедряют в свои системы, чтобы предотвращать подобные атаки».

Источник: xakep.ru



		Краулер OpenAI ChatGPT можно использовать для DDoS-атак
МЕНЮ Главная страница Поиск Регистрация на сайте Помощь проекту Архив новостей ТЕМЫ Новости ИИ Голосовой помощник Городские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Искусственный интеллект Слежка за людьми Угроза ИИ Разработка ИИ ИИ теория Компьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Нейронные сети начинающим Психология ИИ Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Внедрение ИИ Big data Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Распознавание лиц Распознавание образов Распознавание речи Творчество ИИ Техническое зрение Чат-боты Работа разума и сознание Изучение сна Изучение сознания Нейроинтерфейс Психология Работа мозга Работа памяти Работа разума Модель мозга Модель мозга Робототехника, БПЛА Беспилотные автомобили БПЛА Робототехника Трансгуманизм Трансгуманизм Обработка текста Анализ социальных сетей Компьютерная лингвистика Лингвистика Поисковые алгоритмы Теория эволюции Головной мозг Нейронные сети Поведение животных Теория эволюции Дополненная реальность Виртулаьная реальность Дополненная реальность Железо Интернет вещей Квантовый компьютер Нейронные процессоры облачные вычисления Суперкомпьютеры Киберугрозы Кибербезопасность Научный мир Методы исследования Наука и образование Семинары ИТ индустрия ИТ-гиганты Новости ит Разработка ПО Разработка ПО Теория алгоритмов Теория информации Кластеризация Математика Актуальная математика Статистика Теория вероятности Теория информации Теория хаоса Цифровая экономика Технология блокчейн Цифровая экономика Авторизация RSS RSS новости		2025-01-20 21:17 ИИ проекты, кибербезопасность На GitHub Microsoft была опубликована статья ИБ-специалиста Бенджамина Флеша (Benjamin Flesch), который рассказал, что всего один HTTP-запрос к API ChatGPT может использоваться для DDoS-атаки на целевой сайт. Атака будет исходить от краулера ChatGPT (а именно ChatGPT-User). Флеш пишет, что атака получается не особенно мощной, но все равно представляет угрозу и свидетельствует о явном просчете, допущенном разработчиками OpenAI. Так, всего один API-запрос можно «разогнать» до 20–5000 и более запросов к сайту жертвы в секунду. «API ChatGPT имеет серьезный недостаток, связанный с обработкой HTTP POST-запросов к https://chatgpt.com/backend-api/attributions», — поясняет Флеш. Исследователь объясняет, что этот эндпоинт API используется для получения данных о веб-источниках, упомянутых в ответах бота. Когда ChatGPT ссылается на определенные сайты, он использует attributions со списком URL-адресов, по которым проходит краулер и собирает информацию. Если же передать API длинный список URL, немного отличающихся друг от друга, но указывающих на один и тот же ресурс, краулер начнет обращаться сразу ко всем. «API ожидает список гиперссылок в параметре urls. Но очевидно, что ссылки на один сайт можно записать по-разному. Из-за плохого программирования OpenAI не проверяет, встречается ли ссылка на один и тот же ресурс несколько раз. Также OpenAI не ограничивает количество гиперссылок в параметре urls, что позволяет передавать тысячи ссылок в одном HTTP-запросе». То есть злоумышленник может использовать Curl и отправить HTTP POST-запрос на эндпоинт ChatGPT (без какого-либо токена аутентификации), и серверы OpenAI в Microsoft Azure ответят, инициировав HTTP-запросы для каждой переданной в urls ссылки. Если все они указывают на один сайт, это может вызвать DDoS-эффект. Причем краулер, проксируемый Cloudflare, каждый раз будет заходить на сайт с нового IP-адреса. «Жертва даже не поймет, что произошло, просто увидит запросы от бота ChatGPT с примерно 20 разных IP-адресов одновременно, — говорит Флеш и добавляет, что даже если жертва заблокирует диапазон IP-адресов, бот все равно продолжит отправлять запросы. — Один неудачный или заблокированный запрос не помешает боту ChatGPT снова обратиться к сайту всего через миллисекунду. Из-за этой амплификации злоумышленник может отправить всего несколько запросов к API ChatGPT, но жертва получит огромное количество запросов». Флеш рассказывает, что сообщал об этой уязвимости по самым разным каналам (через платформу BugCrowd, на почту команды безопасности OpenAI, в Microsoft и на HackerOne), но так и не получил ответа. Также специалист рассказал изданию The Register и о другой связанной проблеме. По его словам, тот же API оказался уязвим к инъекциям промптов. Эта проблема позволяет краулеру отвечать на запросы через тот же API attributions. То есть можно задавать чат-боту вопросы, и он будет отвечать на них, хотя его задача — просто извлекать данные с сайтов. В беседе с журналистами исследователь выразил выражает недоумение тем, что в боте OpenAI не реализованы простые и надежные методы правильной дедупликации URL-адресов, а для размера списка отсутствуют ограничения. Также он задается вопросом, почему здесь не исправлены уязвимости, связанные с инъекциями промптов, которые давно устранены в основном интерфейсе ChatGPT. «Мне кажется, этот API — тестовый проект ИИ-агентов ChatGPT, который должен парсить URL из предоставленных пользователем данных, а затем обращаться к Azure за информацией, — пишет специалист. — Но разве “ИИ-агент” не должен иметь встроенные защитные механизмы? Очевидно, что этот агент, обрабатывавший urls[], не учитывал возможное исчерпание ресурсов и не понимал, почему отправлять тысячи запросов в секунду на один домен — это плохая идея. Разве он не должен понимать, что victim.com/1 и victim.com/2 ведут на один и тот же сайт? И если victim.com/1 не отвечает, зачем тут же запрашивать victim.com/2? Ведь это базовые проверки, которые разработчики давно внедряют в свои системы, чтобы предотвращать подобные атаки». Источник: xakep.ru Комментарии:

Краулер OpenAI ChatGPT можно использовать для DDoS-атак

Комментарии: