O pesquisador de segurança alemão Benjamin Flechi divulgou recentemente uma séria vulnerabilidade de segurança na API ChatGPT da Openai, que pode ser usada maliciosamente pelo uso malicioso de ataques de serviços de rejeição distribuído (DDoS). O invasor pode enviar um grande número de solicitações ao site de destino por meio de uma solicitação HTTP simples para enviar um grande número de solicitações ao site de destino, fazendo com que o site fique paralisado. Essa vulnerabilidade vem dos defeitos da API ChatGPT ao processar a solicitação de postagem HTTP para um site específico.
Recentemente, um pesquisador de segurança alemão Benjamin Flechi divulgou um relatório sobre o GitHub da Microsoft, apontando que a API de chatgpt do OpenAI tem uma brecha de segurança séria, que pode ser atacada ao iniciar serviços de rejeição distribuídos (DDOs). Essa vulnerabilidade permite que os invasores iniciem solicitações de rede em grande escala a qualquer site por meio de solicitações simples de HTTP, usando o programa ChatGPT Reptile e pode até fazer com que o site de destino fique paralisado.
De acordo com o relatório da Flecho, a API do ChatGPT mostrou defeitos graves ao processar solicitações de postagem HTTP para sites específicos. Quando o ChatGPT faz referência a um site, ele chama um ponto de api -end chamado "atribuições" e solicita informações deste site. Se o invasor enviar uma solicitação contendo um grande número de links diferentes para a API, o programa de répteis ChatGPT acessará esses links ao mesmo tempo, iniciando assim uma solicitação de inundação para o site de destino.
Flech apontou que a API não realizou inspeções repetidas dos links de entrada e não limitou o número de links. Isso significa que o invasor pode enviar milhares de links em uma solicitação, todos os quais apontam para o mesmo site de destino. Por meio de ferramentas simples, o invasor pode enviar uma solicitação para o ponto final do ChatGPT sem a verificação de identidade.
Devido à solicitação de diferentes endereços IP, é difícil para as vítimas detectar a ocorrência de ataques. Mesmo que a vítima permita que o firewall interrompa o endereço IP do ChatGPT, o programa de répteis ainda enviará a solicitação no próximo milissegundo. Flei disse que relatou essa pergunta ao Openai e Microsoft através de vários canais, mas não recebeu uma resposta até agora.
Além das vulnerabilidades de DDOs, Flezhi também mencionou que a API também tem outros problemas de segurança, incluindo o pedido para injetar vulnerabilidades. Isso permite que os programas de répteis respondam perguntas pelo mesmo terminal da API, em vez de obter apenas informações do site. Flech questionou por que o OpenAI não implementou medidas básicas de segurança para evitar esses abusos e apontou que essas são lógicas simples de verificação geralmente adotadas pelos desenvolvedores de software por muitos anos.
Ele acredita que essa vulnerabilidade pode indicar que o OpenAI não considera totalmente a segurança ao desenvolver seu "agente de IA". Para uma operação de longo prazo de rastreadores de rede, a falta de limitação do número de solicitações no mesmo site é particularmente irracional.
Pontos:
1. Verificou -se que a API de ChatGPT da OpenAI possui vulnerabilidades de segurança e pode ser usada para lançar ataques de DDoS.
2. O invasor pode enviar milhares de links para o mesmo site por meio de uma solicitação, fazendo com que o site de destino seja submerso.
3. A vulnerabilidade foi relatada ao OpenAI e Microsoft, mas nenhuma resposta foi recebida, mostrando a negligência do gerenciamento de segurança.
O incidente destaca a importância da segurança da API de modelo de grande idioma e também expõe a falta de OpenAI no gerenciamento de segurança. Espera -se que o OpenAi possa reparar essa vulnerabilidade o mais rápido possível e fortalecer suas medidas de proteção de segurança da API para evitar re -incidentes em incidentes semelhantes para garantir dados do usuário e segurança de rede.