Искусственный интеллект ChatGPT от OpenAI способен отвечать на вопросы, отыскивая ответы на сайтах в интернете. Однако архитектура этих онлайн-запросов может походить на DDoS-атаку. Эксперты говорят, что злоумышленник может использовать желание искусственного интеллекта ответить на вопросы пользователя для организации направленной атаки.
В статье, опубликованной на GitHub, Бенджамин Флэш, исследователь безопасности из Германии, объясняет, как один HTTP-запрос к программному интерфейсу ChatGPT API можно использовать для заполнения целевого веб-сайта сетевыми запросами от сканера ChatGPT.
Этого потока соединений может быть достаточно, а может и недостаточно, чтобы разрушить выбранный сайт. Хотя это все еще опасность и определенное упущение OpenAI. Его можно использовать для расширения одного запроса API на 20-5000 или более запросов к выбранному веб-сайту жертвы ежесекундно, снова и снова.
«API ChatGPT демонстрирует серьезный дефект качества при обработке запросов HTTP POST на https://chatgpt.com/backend-api/attributions», — объясняет Флэш в своем совете, ссылаясь на конечную точку API, которую вызывает ChatGPT для возвращения информации об использованных ним веб-источники.
Когда ChatGPT упоминает определенные веб-сайты, он вызовет attributions со списком URL этих сайтов, к которым сканер может получить доступ и получить информацию.
Если вы бросите в API большой длинный список URL, каждый из которых несколько отличается, но все указывают на один сайт, сканер включится и поразит каждый из них одновременно.
«API ожидает список гиперссылок в параметре URL. Общеизвестно, что гиперссылку на один и тот же сайт можно записать многими разными способами», — написал Флэш. «Из-за неправильной практики программирования OpenAI не проверяет, появляется ли гиперссылка на тот же ресурс в списке несколько раз. OpenAI также не ограничивает максимальное количество ссылок, хранящихся в параметре urls, что позволяет передавать многие тысячи гиперссылок в одном запросе HTTP».
Таким образом, используя такой инструмент, как Curl, злоумышленник может отправить HTTP-запрос POST – без необходимости в маркере аутентификации – в конечную точку ChatGPT. А серверы OpenAI в облаке Microsoft Azure будут отвечать, инициируя HTTP-запрос для каждой гиперссылки, поданной через urls-параметр в запросе. Когда эти запросы направляются на один веб-сайт, они могут перегрузить цель, вызывая симптомы DDoS-атаки.
«Жертва никогда не узнает, что ее постигло, потому что она видит, как бот ChatGPT поражает их веб-сайт одновременно с примерно 20 разными IP-адресами», — сказал Флэш, добавив, что если жертва включит файрвол для блокировки диапазона IP-адресов , использующий ChatGPT, бот все равно будет посылать запросы.
Таким образом, один неудачный/заблокированный запрос не помешает боту ChatGPT повторно запросить сайт-жертву в течение следующей миллисекунды.
«Благодаря этому усилению злоумышленник может послать небольшое количество запросов в ChatGPT API, но жертва получит очень большое количество запросов», — объяснил Флэш.
Флэш говорит, что он сообщил об этой неаутентифицированной рефлексивной уязвимости DDoS через многочисленные каналы – платформу отчетов об уязвимости BugCrowd OpenAI, электронную почту команды безопасности OpenAI, Microsoft (включая Azure) и HackerOne – но не получил ответа.
Флэш сомневался, почему бот OpenAI не реализовал простые, устоявшиеся методы для надлежащего удаления дубликатов URL-адресов в запрашиваемом списке или ограничения размера списка.
«Все это небольшие фрагменты логики проверки, которые люди внедряли в свое программное обеспечение на протяжении многих лет, чтобы предотвратить подобные злоупотребления», — говорит он.
