Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию

Уязвимость безопасности API в ChatGPT может привести к масштабным DDoS-атакам

Рубрики: «Информационная безопасность», «Кибербезопасность»

Открытие было сделано Бенджамином Флешем, исследователем безопасности из Германии, который на GitHub подробно описал уязвимость и то, как ее можно использовать. По словам Флеша, уязвимость заключается в обработке API запросов HTTP POST к конечной точке /backend-api/attributions. Конечная точка позволяет предоставлять список гиперссылок через параметр «urls».

Проблема возникает из-за отсутствия ограничений на количество гиперссылок, которые могут быть включены в один запрос, поэтому злоумышленники могут легко заполнять запросы URL-адресами через API. Кроме того, программый интерфейсе приложений от OpenAI не проверяет, ведут ли гиперссылки на один и тот же ресурс или они являются дубликатами.

Уязвимость может быть использована для подавления любого веб-сайта, на который нацелится злоумышленник. Включая тысячи гиперссылок в один запрос, злоумышленник может заставить серверы OpenAI генерировать огромный объем HTTP-запросов к веб-сайту жертвы. Одновременные подключения могут нагрузить или даже отключить инфраструктуру целевого сайта, фактически осуществляя DDos-атаку.

Проблема также возрастает из-за отсутствия механизмов ограничения скорости или фильтрации повторяющихся запросов в API OpenAI. Исследователь утверждает, что без принятия мер предосторожности OpenAI непреднамеренно предоставляет вектор усиления, который может быть использован во вредоносных целях.

Бенджамин Флеш также отмечает, что уязвимость демонстрирует плохие практики программирования и отсутствие внимания к вопросам безопасности. Он рекомендует OpenAI решить эту проблему, внедрив строгие ограничения на количество отправляемых URL-адресов, обеспечив фильтрацию дублирующих запросов и добавив меры по ограничению скорости для предотвращения злоупотреблений.

«Сканеры ChatGPT, инициированные через чат-ботов, представляют значительные риски для бизнеса, включая ущерб репутации, эксплуатацию данных и истощение ресурсов посредством таких атак», - сказал Элад Шульман, основатель и генеральный директор компании Lasso Security, занимающейся разработкой решений по обеспечению безопасности на основе генеративного ИИ. «Хакеры, нацеленные на чатботов с генеративным ИИ, могут использовать их для выкачивания финансовых ресурсов жертвы, особенно при отсутствии необходимых защитных механизмов. Используя эти методы, хакеры могут легко потратить месячный бюджет чатбота на основе большой языковой модели всего за один день».

Источник: