Jak wynika z raportu opublikowanego przez RejestrWedług doniesień przeszukiwacz ChatGPT OpenAI jest podatny na manipulacje, co pozwala mu potencjalnie inicjować ataki typu rozproszona odmowa usługi (DDoS) na dowolne strony internetowe. Problem ten pozostaje niepotwierdzony przez firmę technologiczną.
Interfejs API ChatGPT OpenAI wykazuje podatność na ataki DDoS
Artykuł autorstwa badacza bezpieczeństwa Benjamina Flescha: wspólny w tym miesiącu za pośrednictwem GitHuba firmy Microsoft szczegółowo opisano, w jaki sposób pojedyncze żądanie HTTP skierowane do interfejsu API ChatGPT może wywołać zalew żądań sieciowych z robota ChatGPT, w szczególności z CzatGPT-Użytkownik agent. Luka ta może spowodować powiększenie jednego żądania API do aż 5000 żądań kierowanych do docelowej witryny co sekundę.
Flesch opisuje tę lukę jako „poważną wadę jakości” w obsłudze żądań HTTP POST kierowanych do określonego punktu końcowego API wywoływanego przez ChatGPT OpenAI. Ten punkt końcowy służy do zwracania informacji o źródłach internetowych cytowanych w wynikach chatbota. Gdy chatbot odwołuje się do określonych adresów URL, interfejs API atrybucji pobiera informacje z tych witryn. Osoba atakująca może stworzyć długą listę adresów URL, z których każdy jest nieco inny, ale wskazuje na tę samą witrynę, co skutkuje jednoczesnym wysyłaniem żądań do tej witryny.
Według Flescha API nie weryfikuje, czy hiperłącza powtarzają się na liście, ani nie wymusza ograniczenia łącznej liczby przesłanych hiperłączy. Umożliwia to atakującemu wysłanie tysięcy hiperłączy w jednym żądaniu HTTP, skutecznie zalewając docelową witrynę internetową.
Korzystając z narzędzia takiego jak Curl, osoby atakujące mogą przesłać żądanie HTTP POST do punktu końcowego ChatGPT bez konieczności posiadania tokena uwierzytelniającego. Serwery OpenAI na Microsoft Azure będą odpowiadać, inicjując żądania dla każdego hiperłącza przesłanego za pomocą parametru żądania. To działanie może przeciążyć docelową witrynę, ponieważ robot korzystający z Cloudflare będzie uzyskiwał dostęp do witryny z różnych adresów IP przy każdym żądaniu.
Najlepsze praktyki w zakresie przygotowania organizacji na incydenty cyberbezpieczeństwa
Strona ofiary prawdopodobnie otrzymywałaby jednocześnie żądania z około 20 różnych adresów IP, co utrudniałoby jej śledzenie źródła ataku. Nawet jeśli witryna internetowa umożliwia zaporze sieciowej blokowanie adresów IP powiązanych z botem ChatGPT, bot będzie nadal wysyłał żądania.
„Dzięki temu wzmocnieniu osoba atakująca może wysłać niewielką liczbę żądań do interfejsu API ChatGPT, ale ofiara otrzyma bardzo dużą liczbę żądań” – wyjaśnił Flesch.
Flesch zgłosił nieuwierzytelnioną lukę w zabezpieczeniach DDoS za pośrednictwem wielu kanałów, w tym platformy OpenAI BugCrowd i zespołów ds. bezpieczeństwa firmy Microsoft, ale nie otrzymał żadnej odpowiedzi. Rejestr skontaktował się również z OpenAI w celu uzyskania komentarzy, ale nie otrzymał odpowiedzi.
Dodatkowo Flesch zwrócił uwagę na inny problem związany z tym interfejsem API, który jest podatny na natychmiastowe wstrzyknięcie. Ta wada pozwala robotowi przetwarzać dowolne pytania przy użyciu tego samego punktu końcowego interfejsu API atrybucji, a nie tylko pobierać dane witryny zgodnie z zamierzeniami.
Flesch skrytykował OpenAI za brak wdrożenia podstawowych środków bezpieczeństwa, takich jak deduplikacja adresów URL czy ograniczenie rozmiaru list adresów URL. Spekulował, że API może być projektem eksperymentalnym dla agentów AI OpenAI, któremu brakuje niezbędnej logiki sprawdzania poprawności, aby zapobiec tego typu nadużyciom. Zauważył, że ustalone normy w tworzeniu oprogramowania zazwyczaj zapobiegają takim błędom, aby zapewnić solidne działanie.
„Nie mogę sobie wyobrazić dobrze opłacanego inżyniera z Doliny Krzemowej projektującego takie oprogramowanie, ponieważ robot ChatGPT przeszukuje sieć od wielu lat, podobnie jak robot Google” – stwierdził Flesch. „Jeśli roboty nie ograniczą liczby żądań do tej samej witryny, zostaną natychmiast zablokowane”.
Autor wyróżnionego obrazu: Matheus Bertelli/Pexels
