На GitHub Microsoft была опубликована статья ИБ-специалиста Бенджамина Флеша (Benjamin Flesch), который рассказал, что всего один HTTP-запрос к API ChatGPT может использоваться для DDoS-атаки на целевой сайт. Атака будет исходить от краулера ChatGPT (а именно ChatGPT-User).
Флеш пишет, что атака получается не особенно мощной, но все равно представляет угрозу и свидетельствует о явном просчете, допущенном разработчиками OpenAI. Так, всего один API-запрос можно «разогнать» до 20–5000 и более запросов к сайту жертвы в секунду.
Исследователь объясняет, что этот эндпоинт API используется для получения данных о веб-источниках, упомянутых в ответах бота. Когда ChatGPT ссылается на определенные сайты, он использует attributions со списком URL-адресов, по которым проходит краулер и собирает информацию. Если же передать API длинный список URL, немного отличающихся друг от друга, но указывающих на один и тот же ресурс, краулер начнет обращаться сразу ко всем.
То есть злоумышленник может использовать Curl и отправить HTTP POST-запрос на эндпоинт ChatGPT (без какого-либо токена аутентификации), и серверы OpenAI в Microsoft Azure ответят, инициировав HTTP-запросы для каждой переданной в urls ссылки. Если все они указывают на один сайт, это может вызвать DDoS-эффект. Причем краулер, проксируемый Cloudflare, каждый раз будет заходить на сайт с нового IP-адреса.
Флеш рассказывает, что сообщал об этой уязвимости по самым разным каналам (через платформу BugCrowd, на почту команды безопасности OpenAI, в Microsoft и на HackerOne), но так и не получил ответа.
Также специалист рассказал изданию The Register и о другой связанной проблеме. По его словам, тот же API оказался уязвим к инъекциям промптов. Эта проблема позволяет краулеру отвечать на запросы через тот же API attributions. То есть можно задавать чат-боту вопросы, и он будет отвечать на них, хотя его задача — просто извлекать данные с сайтов.
В беседе с журналистами исследователь выразил выражает недоумение тем, что в боте OpenAI не реализованы простые и надежные методы правильной дедупликации URL-адресов, а для размера списка отсутствуют ограничения. Также он задается вопросом, почему здесь не исправлены уязвимости, связанные с инъекциями промптов, которые давно устранены в основном интерфейсе ChatGPT.
Флеш пишет, что атака получается не особенно мощной, но все равно представляет угрозу и свидетельствует о явном просчете, допущенном разработчиками OpenAI. Так, всего один API-запрос можно «разогнать» до 20–5000 и более запросов к сайту жертвы в секунду.
Исследователь объясняет, что этот эндпоинт API используется для получения данных о веб-источниках, упомянутых в ответах бота. Когда ChatGPT ссылается на определенные сайты, он использует attributions со списком URL-адресов, по которым проходит краулер и собирает информацию. Если же передать API длинный список URL, немного отличающихся друг от друга, но указывающих на один и тот же ресурс, краулер начнет обращаться сразу ко всем.
То есть злоумышленник может использовать Curl и отправить HTTP POST-запрос на эндпоинт ChatGPT (без какого-либо токена аутентификации), и серверы OpenAI в Microsoft Azure ответят, инициировав HTTP-запросы для каждой переданной в urls ссылки. Если все они указывают на один сайт, это может вызвать DDoS-эффект. Причем краулер, проксируемый Cloudflare, каждый раз будет заходить на сайт с нового IP-адреса.
Флеш рассказывает, что сообщал об этой уязвимости по самым разным каналам (через платформу BugCrowd, на почту команды безопасности OpenAI, в Microsoft и на HackerOne), но так и не получил ответа.
Также специалист рассказал изданию The Register и о другой связанной проблеме. По его словам, тот же API оказался уязвим к инъекциям промптов. Эта проблема позволяет краулеру отвечать на запросы через тот же API attributions. То есть можно задавать чат-боту вопросы, и он будет отвечать на них, хотя его задача — просто извлекать данные с сайтов.
В беседе с журналистами исследователь выразил выражает недоумение тем, что в боте OpenAI не реализованы простые и надежные методы правильной дедупликации URL-адресов, а для размера списка отсутствуют ограничения. Также он задается вопросом, почему здесь не исправлены уязвимости, связанные с инъекциями промптов, которые давно устранены в основном интерфейсе ChatGPT.