ChatGPT API のプログラミング上の欠陥により、OpenAI サーバーが悪用されて、あらゆる Web サイトに対して DDoS 攻撃が開始される可能性があります。
ChatGPT は特定のタスクの時間を節約するために日常的に非常に役立ちますが、OpenAI AI モデルに基づく会話エージェントはサイバー犯罪者によっても使用されます。このツールが、たとえば悪意のあるコードの生成に使用されることはすでにわかっていましたが、今回はそのインフラストラクチャそのものに欠陥が発見され、それが悪用されて Web サイトをダウンさせる可能性があります。
の上GitHub、セキュリティ専門家のBenjamin Flesch氏は、ChatGPT APIによるエンドポイントへのHTTP POSTリクエストの処理に問題があると説明しています。実際、このエンドポイントを使用すると、ユーザーはパラメータを介してハイパーリンクのリストを提供できます。URL制限を設けずに。さらに、API は、ハイパーリンクが同じリソースにつながっているかどうか、または重複を識別しているかどうかをチェックしません。
OpenAI サーバーを使用して DDoS 攻撃を開始する
したがって、同じ Web サイトを指す何千ものハイパーリンクを含めることが可能であり、ターゲットのプラットフォームに対して同じ数のリクエストを作成し、誰でも OpenAI のサーバーを使用して DDoS 攻撃を開始でき、ターゲットの Web サイトをクラッシュさせる可能性もあります。 。
ベンジャミン・フレッシュ・エヴォーク・ド「悪いプログラミング慣行」同様に「ソフトウェアエンジニアリングにおける品質管理プロセスの欠如」OpenAIから。彼は会社に次のように勧めています「この欠陥をできるだけ早く改善してください」。同氏によれば、この問題を解決するには、重複したリクエストを禁止するか、送信できる URL の数に制限を設けるだけで十分だという。悪用を避けるために、利用可能な帯域幅に制限を追加することもできます。
このセキュリティ研究者は、2025 年 1 月 10 日に OpenAI と Microsoft に連絡してこの脆弱性について警告したが、どちらの組織もまだ返答しておらず、まだ問題を認識しておらず、修正もされていないと報告しています。
ソース :GitHub のベンジャミン フレッシュ
