Уязвимость в поисковом боте ChatGPT позволяет запускать DDoS-атаки с одного запроса

Внимание кибербезопасности привлекла новая уязвимость, обнаруженная в поисковом боте ChatGPT. Исследователь Бенджамин Флеш раскрыл, как манипулировать поведением веб-краулера OpenAI для проведения DDoS-атак с использованием всего одного HTTP-запроса. Эта ошибка позволяет отправлять огромные потоки запросов на произвольные сайты, потенциально перегружая их.

Суть проблемы заключается в том, что при правильном запросе к API ChatGPT, бот может начать автоматически отправлять запросы на один и тот же веб-ресурс. По словам Флеша, если API получит длинный список URL, которые не сильно отличаются друг от друга, бот начнёт делать параллельные запросы на указанный сайт. Это создаёт ситуацию, когда сервер получает многочисленные запросы, что может привести к перегрузке и замедлению работы веб-ресурса.

Хотя мощностей этих атак может не хватить для вывода из строя защищённых сайтов, сам факт уязвимости в системе вызывает вопросы о недоработках OpenAI. Особенно тревожно то, что веб-краулер не проверяет повторяющиеся ссылки на один и тот же сайт, что позволяет накапливать запросы с разных IP-адресов. Блокировка этих IP с помощью файрвола не решает проблему, так как бот продолжает отправлять запросы.

Специалисты по безопасности призывают OpenAI обратить внимание на данную уязвимость и устранить её, чтобы избежать возможных злоупотреблений в будущем.