ChatGPT API 中的编程缺陷允许 OpenAI 服务器被利用,对任何网站发起 DDoS 攻击。
ChatGPT 在日常工作中非常有用,可以节省我们执行某些任务的时间,但基于 OpenAI AI 模型的对话代理也被网络犯罪分子使用。例如,我们已经知道该工具用于生成恶意代码,而这次它是其基础设施中的一个缺陷,已被发现并可被利用来瘫痪网站。
在GitHub安全专家 Benjamin Flesch 解释说,ChatGPT API 处理端点 HTTP POST 请求时存在问题。该端点确实允许用户通过参数提供超链接列表网址没有设置任何限制。此外,API 不会检查超链接是否指向相同的资源或识别重复项。
使用 OpenAI 服务器发起 DDoS 攻击
因此,有可能包含数千个指向同一网站的超链接,向目标平台创建尽可能多的请求,并允许任何人使用 OpenAI 的服务器发起 DDoS 攻击,甚至可能导致目标网站崩溃。
本杰明·弗莱什·埃沃克·德“糟糕的编程实践”以及一个“其软件工程缺乏质量控制流程”来自 OpenAI。他建议公司“尽快修复这个缺陷”。他认为,禁止重复请求或限制可提交的 URL 数量就足以解决问题。还可以添加可用带宽的限制以避免滥用。
该安全研究人员报告称,已于 2025 年 1 月 10 日联系 OpenAI 和微软,警告他们有关此漏洞的信息,但这两个实体尚未对他做出回应,他们尚未认识到该问题,更不用说纠正了。
来源 :GitHub 上的本杰明·弗莱施
![[Chromebook] 如何使用绘图画布!我们来画个例子](https://jjgvkw.com/tech/marquetta/wp-content/uploads/2024/10/e38090chromebooke38091e68f8fe794bbe382ade383a3e383b3e38390e382b9e381aee4bdbfe38184e696b9efbc81e382a4e383a9e382b9e38388e38292e68f8fe38193.jpg)
