اتک هوش مصنوعی چت جی پی تی به وب سایت ها

تاریخ ارسال : 1403/11/03

اتک هوش مصنوعی چت جی پی تی به وب سایت ها

بنجامین فلش پژوهشگر حوزه امنیت سیستم معتقد است که یک نقص نرم افزاری در «چت جی پی تی»، امکان حمله به وب سایت ها را فراهم می کند و «اوپن ای آی» و «مایکروسافت» هیچ اقدامی برای برطرف کردن آن انجام نداده اند.

یک محقق امنیتی به نام بنجامین فلش، در پژوهشی جدید، آسیب‌پذیری خطرناکی را در ربات‌های گفتگوی ChatGPT شناسایی کرده است. به گفته‌ی وی، می‌توان با ارسال درخواست‌های HTTP از طریق رابط برنامه‌نویسی کاربردی (API) این ربات‌ها، حملات منع سرویس توزیع‌شده (DDoS) را علیه وب‌سایت‌ها سازماندهی کرد.
 
این آسیب‌پذیری که در نرم‌افزار شرکت OpenAI یافت شده، به مهاجمان اجازه می‌دهد تا با استفاده از دامنه‌های IP متعدد مربوط به سرویس ابری مایکروسافت آژور (محل میزبانی ChatGPT)، حملات DDoS را علیه وب‌سایت‌های هدف اجرا کنند.
 
فلش توضیح می‌دهد که API چت جی پی تی در پردازش درخواست‌های HTTP، ضعف جدی از خود نشان می‌دهد. این API انتظار دریافت لیستی از لینک‌ها را در پارامتر urls دارد. در حالی که می‌دانیم یک لینک می‌تواند به شکل‌های مختلف نوشته شود، OpenAI بدون بررسی تکراری بودن لینک‌ها در لیست و بدون محدودیت در تعداد لینک‌های ارسالی، امکان ارسال هزاران لینک در یک درخواست HTTP را فراهم کرده است.
 
به محض دریافت یک درخواست HTTP معتبر، OpenAI درخواست‌های HTTP جداگانه‌ای را برای تک تک لینک‌های موجود در پارامتر urls از سرورهای خود در مایکروسافت آژور ارسال می‌کند. این امر موجب می‌شود که وب‌سایت قربانی با حجم عظیمی از درخواست‌های همزمان از سوی سرورهای OpenAI مواجه شود. نکته‌ی قابل توجه این است که OpenAI با وجود آگاهی از ارسال تعداد زیاد درخواست به یک وب‌سایت، هیچ اقدامی برای محدود کردن تعداد اتصالات یا جلوگیری از ارسال درخواست‌های تکراری انجام نمی‌دهد.
 
بسته به تعداد لینک‌های ارسالی در پارامتر urls، تعداد زیادی از اتصالات سرورهای OpenAI می‌تواند وب‌سایت قربانی را از دسترس خارج کند. این آسیب‌پذیری، امکان تقویت قابل توجهی را برای حملات DDoS فراهم می‌کند. فلش معتقد است که این موضوع نشان‌دهنده‌ی فقدان فرآیندهای کنترل کیفیت در مهندسی نرم‌افزار OpenAI است و این شرکت باید هرچه سریع‌تر این نقص را برطرف کند.
 
این آسیب‌پذیری در ژانویه ۲۰۲۵ کشف و به OpenAI (به عنوان توسعه‌دهنده‌ی نرم‌افزار) و مایکروسافت (به عنوان مالک سرورها) گزارش داده شد. با این حال، علی‌رغم تلاش‌های متعدد برای جلب توجه این دو شرکت، هیچ واکنشی از سوی آنها مشاهده نشد. این تلاش‌ها شامل موارد زیر بود:
 
تماس با تیم امنیتی OpenAI از طریق پلتفرم BugCrowd (بدون پاسخ)
  • ارسال ایمیل به آدرس disclosure@openai.com (بدون پاسخ)
  • ارسال گزارش در بخش Repository گیت‌هاب OpenAI (بدون پاسخ)
  • ارسال ایمیل به مسئولین حریم خصوصی داده در OpenAI (پاسخ خودکار با ارجاع به وب‌سایت پرسش و پاسخ)
  • ارسال ایمیل به تیم پشتیبانی OpenAI (پاسخ خودکار با ارجاع به وب‌سایت پرسش و پاسخ)
  • ارسال ایمیل به تیم امنیتی مایکروسافت به آدرس‌های مختلف از جمله safe@microsoft.com و abuse@microsoft.com (بدون پاسخ)
  • تکمیل فرم در cert.microsoft.com (پاسخ خودکار مبنی بر «بسته شدن پرونده»)
  • ارسال ایمیل به تیم عملیات شبکه‌ی مایکروسافت آژور (بدون پاسخ)
  • تماس با تیم امنیتی CloudFlare (به عنوان ارائه‌دهنده‌ی خدمات به ChatGPT) از طریق HackerOne (عدم همکاری HackerOne)
به گفته‌ی فلش، از تاریخ ۱۰ ژانویه ۲۰۲۵ و پس از ارسال گزارش‌های متعدد از طریق کانال‌های رسمی، این آسیب‌پذیری نه توسط OpenAI و نه توسط مایکروسافت برطرف شده و حتی وجود آن نیز تأیید نشده است.
 

منبع:

موضوع خبر :
  • امنیت
  • اوپن ای آی
  • هوش مصنوعی
  • برنامه
به این مطلب چه امتیازی می دهید؟ 1 2 3 4 5 (1)

نظر شما در مورد اتک هوش مصنوعی چت جی پی تی به وب سایت ها چیست؟

سوال: