ChatGPT API 中的程式設計缺陷允許 OpenAI 伺服器被利用,對任何網站發動 DDoS 攻擊。
ChatGPT 在日常工作中非常有用,可以節省我們執行某些任務的時間,但基於 OpenAI AI 模型的對話代理人也被網路犯罪分子使用。例如,我們已經知道該工具用於生成惡意程式碼,而這次它是其基礎設施中的一個缺陷,已被發現並可被利用來癱瘓網站。
在GitHub安全專家 Benjamin Flesch 解釋說,ChatGPT API 處理端點 HTTP POST 請求時有問題。該端點確實允許用戶透過參數提供超連結列表網址沒有設定任何限制。此外,API 不會檢查超連結是否指向相同的資源或識別重複項。
使用 OpenAI 伺服器發起 DDoS 攻擊
因此,有可能包含數千個指向同一網站的超鏈接,向目標平台創建盡可能多的請求,並允許任何人使用 OpenAI 的伺服器發起 DDoS 攻擊,甚至可能導致目標網站崩潰。
班傑明·弗萊什·埃沃克·德“糟糕的程式設計實踐”以及一個“其軟體工程缺乏品質控制流程”來自 OpenAI。他建議公司“盡快修復這個缺陷”。他認為,禁止重複請求或限制可提交的 URL 數量就足以解決問題。還可以添加可用頻寬的限制以避免濫用。
該安全研究人員報告稱,已於2025 年1 月10 日聯繫OpenAI 和微軟,警告他們有關此漏洞的信息,但這兩個實體尚未對他做出回應,他們尚未認識到該問題,更不用說糾正了。
來源 :GitHub 上的本傑明·弗萊施
