网站的域名怎么起,一个app软件,管理系统的组成,wordpress外链图本地化OpenAI的ChatGPT爬虫似乎能够对任意网站发起分布式拒绝服务#xff08;DDoS#xff09;攻击#xff0c;而OpenAI尚未承认这一漏洞。
本月#xff0c;德国安全研究员Benjamin Flesch通过微软的GitHub分享了一篇文章#xff0c;解释了如何通过向ChatGPT API发送单个HTTP请求… OpenAI的ChatGPT爬虫似乎能够对任意网站发起分布式拒绝服务DDoS攻击而OpenAI尚未承认这一漏洞。
本月德国安全研究员Benjamin Flesch通过微软的GitHub分享了一篇文章解释了如何通过向ChatGPT API发送单个HTTP请求利用ChatGPT爬虫特别是 ChatGPT-User向目标网站发起大量网络请求。攻击者可以将单个API请求放大为每秒20到5000次甚至更多的请求持续不断地发送到目标网站。从实际操作来看这种连接的洪流虽然不足以使任何网站瘫痪但仍被认为是一种潜在的危险也暴露了OpenAI 的疏忽。
Flesch在他的报告中指出“ChatGPT API在处理向 https://chatgpt.com/backend-api/attributions发送的HTTP POST请求时表现出严重的质量缺陷。”他提到的API端点被ChatGPT用于返回聊天机器人输出中引用的网络来源信息。当ChatGPT提到特定网站时它会调用“attributions”接口并附带这些网站的URL列表供爬虫访问并获取相关信息。如果向API发送一个包含大量URL的列表每个URL略有不同但都指向同一个网站爬虫会立即访问所有这些URL 。
Flesch写道“API期望在参数urls中接收一个超链接列表。众所周知指向同一网站的超链接可以以多种不同的方式编写。由于编程实践不当OpenAI没有检查列表中是否多次出现指向同一资源的超链接。 OpenAI也没有对urls参数中存储的超链接数量设置上限从而允许在单个HTTP请求中传输数千个超链接。”
因此攻击者可以使用Curl等工具向ChatGPT端点发送HTTP POST请求无需身份验证令牌。OpenAI在微软Azure上的服务器将响应此请求并为通过urls[]参数提交的每个超链接发起HTTP请求。当这些请求指向同一个网站时可能会使目标网站不堪重负出现DDoS症状——由Cloudflare代理的爬虫每次都会从不同的IP地址访问目标网站。
“受害者永远不会知道发生了什么因为他们只看到同一时间ChatGPT机器人从大约20个不同的IP地址访问他们的网站。”Flesch说。他还补充道即使受害者启用了防火墙来阻止ChatGPT机器人使用的IP地址范围机器人仍然会发送请求。“因此一个失败或被阻止的请求不会阻止ChatGPT机器人在下一毫秒再次请求受害者网站。由于这种放大效应攻击者可以向ChatGPT API发送少量请求但受害者将收到大量请求。”
Flesch 通过多个渠道报告了这一未经身份验证的反射型DDoS漏洞包括OpenAI的BugCrowd漏洞报告平台、OpenAI安全团队的电子邮件、微软和HackerOne但至今未收到任何回复。
Flesch认为更大的问题是这个API还容易受到提示注入攻击。Flesch质疑为什么OpenAI机器人没有实现简单且成熟的方法以正确去重请求列表中的URL或者限制列表的大小也没有解决在ChatGPT主界面中已修复的提示注入漏洞。
Flesch 说“在我看来这个小API似乎是ChatGPT AI代理的一个示例项目任务是从用户提供的数据中解析出URL然后使用Azure抓取网站。‘AI代理’没有内置安全功能吗显然处理 urls[]参数的‘AI 代理’没有资源耗尽的概念也不明白为什么在同一秒内向同一网站发送数千个请求是愚蠢的。难道它没有意识到victim.com/1和victim.com/2都是指向同一个网站victim.com吗如果victim.com/1的请求失败了为什么还会立即向victim.com/2发送请求呢这些都是人们多年来在软件中实施的验证逻辑以防止此类滥用现象出现。 ”
Flesch表示唯一能想到的解释是OpenAI正在使用AI代理来触发这些HTTP请求。“我无法想象一个高薪的硅谷工程师会设计出这样的软件因为ChatGPT爬虫已经像谷歌爬虫一样在网络上爬行了多年。如果爬虫不限制对同一网站的请求数量它们会立即被屏蔽。”
