يسمح ثغرة برمجية في ChatGPT API باستغلال خوادم OpenAI لشن هجمات DDoS على أي موقع ويب.
يعد ChatGPT مفيدًا جدًا على أساس يومي لتوفير الوقت في مهام معينة، ولكن وكيل المحادثة المستند إلى نماذج OpenAI AI يتم استخدامه أيضًا من قبل مجرمي الإنترنت. لقد علمنا بالفعل أن الأداة تُستخدم، على سبيل المثال، لإنشاء تعليمات برمجية ضارة، وهذه المرة تم اكتشاف خلل في بنيتها التحتية ذاتها ويمكن استغلاله لإسقاط مواقع الويب.
علىجيثبيوضح خبير الأمان بنجامين فليش أن هناك مشكلة في معالجة ChatGPT API لطلبات HTTP POST إلى نقطة النهاية. تسمح نقطة النهاية هذه بالفعل للمستخدم بتقديم قائمة من الارتباطات التشعبية عبر المعلمةعناوين المواقعدون أن يتم تعيين أي حد. بالإضافة إلى ذلك، لا تتحقق واجهة برمجة التطبيقات (API) مما إذا كانت الارتباطات التشعبية تؤدي إلى نفس المورد أو تحدد التكرارات.
قم بشن هجوم DDoS باستخدام خوادم OpenAI
لذلك، من الممكن تضمين آلاف الارتباطات التشعبية التي تشير إلى نفس موقع الويب، وإنشاء أكبر عدد ممكن من الطلبات إلى النظام الأساسي المستهدف والسماح لأي شخص بشن هجوم DDoS باستخدام خوادم OpenAI، والذي يمكن أن يصل إلى حد التسبب في تعطل موقع الويب المستهدف .
بنيامين فليش إيفوك دي"ممارسات البرمجة السيئة"وكذلك أ"الافتقار إلى عمليات مراقبة الجودة في هندسة البرمجيات"من أوبن آي آي. ويوصي بأن الشركة"معالجة هذا الخلل في أسرع وقت ممكن". ووفقا له، يكفي حظر الطلبات المكررة أو وضع قيود على عدد عناوين URL التي يمكن تقديمها لحل المشكلة. من الممكن أيضًا إضافة قيود على النطاق الترددي المتاح لتجنب إساءة الاستخدام.
أفاد الباحث الأمني أنه تواصل مع OpenAI وMicrosoft في 10 يناير 2025 لتحذيرهم من هذه الثغرة الأمنية، لكن لم يستجب له أي من الكيانين بعد، وأنهم لم يتعرفوا على المشكلة بعد، ناهيك عن تصحيحها.
مصدر :بنيامين فليش على جيثب