Peneliti keamanan Jerman Benjamin Flechi baru -baru ini mengungkapkan kerentanan keamanan yang serius di Openai's ChatGPT API, yang dapat secara jahat digunakan dengan penggunaan jahat dari serangan layanan penolakan terdistribusi (DDOS). Penyerang dapat mengirim sejumlah besar permintaan ke situs web target melalui permintaan HTTP sederhana untuk mengirim sejumlah besar permintaan ke situs web target, menyebabkan situs web dilumpuhkan. Kerentanan ini berasal dari cacat API ChatGPT saat memproses permintaan HTTP Post ke situs web tertentu.
Baru -baru ini, seorang peneliti keamanan Jerman Benjamin Flechi merilis laporan tentang Github Microsoft, menunjukkan bahwa Openai's ChatGPT API memiliki celah keamanan yang serius, yang mungkin diserang dengan memulai layanan penolakan terdistribusi (DDOS). Kerentanan ini memungkinkan penyerang untuk memulai permintaan jaringan skala besar ke situs web mana pun melalui permintaan HTTP sederhana, menggunakan program reptil chatgpt, dan bahkan dapat menyebabkan situs web target lumpuh.
Menurut laporan Flecho, API ChatGPT menunjukkan cacat serius saat memproses permintaan HTTP POST ke situs web tertentu. Ketika ChatGPT merujuk pada situs web, itu memanggil poin API -D yang disebut "Atribusi" dan meminta informasi dari situs web ini. Jika penyerang mengirimkan permintaan yang berisi sejumlah besar tautan berbeda ke API, program Reptil ChatGPT akan mengakses tautan ini pada saat yang sama, dengan demikian memulai permintaan seperti banjir untuk situs web target.
Flech menunjukkan bahwa API tidak melakukan inspeksi berulang dari tautan saluran masuk dan tidak membatasi jumlah tautan. Ini berarti bahwa penyerang dapat mengirimkan ribuan tautan dalam satu permintaan, yang semuanya menunjuk ke situs web target yang sama. Melalui alat yang sederhana, penyerang dapat mengirim permintaan ke titik akhir chatgpt tanpa verifikasi identitas.
Karena permintaan dari alamat IP yang berbeda, sulit bagi para korban untuk mendeteksi terjadinya serangan. Bahkan jika korban memungkinkan firewall untuk menghentikan alamat IP chatgpt, program reptil masih akan mengirim permintaan dalam milidetik berikutnya. Flei mengatakan dia telah melaporkan pertanyaan ini ke Openai dan Microsoft melalui beberapa saluran, tetapi sejauh ini belum menerima balasan.
Selain kerentanan DDOS, Flezhi juga menyebutkan bahwa API juga memiliki masalah keamanan lainnya, termasuk meminta untuk menyuntikkan kerentanan. Ini memungkinkan program reptil untuk menjawab pertanyaan melalui titik akhir API yang sama, daripada hanya mendapatkan informasi situs web. Flech mempertanyakan mengapa Openai tidak menerapkan langkah -langkah keamanan dasar untuk mencegah penyalahgunaan ini, dan menunjukkan bahwa ini adalah logika verifikasi sederhana yang umumnya diadopsi oleh pengembang perangkat lunak selama bertahun -tahun.
Dia percaya bahwa kerentanan ini dapat menunjukkan bahwa Openai gagal untuk sepenuhnya mempertimbangkan keamanan ketika mengembangkan "agen AI". Untuk operasi jangka panjang penjelajahan jaringan, kurangnya batasan pada jumlah permintaan di situs web yang sama sangat tidak masuk akal.
Poin:
1. Openai's ChatGPT API ditemukan memiliki kerentanan keamanan dan dapat digunakan untuk meluncurkan serangan DDOS.
2. Penyerang dapat mengirim ribuan tautan ke situs web yang sama melalui permintaan, menyebabkan situs web target terendam.
3. Kerentanan telah dilaporkan ke Openai dan Microsoft, tetapi tidak ada respons yang diterima, menunjukkan kelalaian manajemen keselamatan.
Insiden ini menyoroti pentingnya keamanan API model bahasa besar, dan juga memperlihatkan kurangnya openai dalam manajemen keamanan. Diharapkan bahwa OpenAI dapat memperbaiki kerentanan ini sesegera mungkin dan memperkuat langkah -langkah perlindungan keamanan API untuk menghindari kembali insiden dalam insiden serupa untuk memastikan data pengguna dan keamanan jaringan.