ChatGPT-Lücke ermöglicht DDoS-Attacken

Lucas Morel

Un accès à la sécurité dans ChatGPT est un hackern, une attaque DDoS est déclenchée.

L’agent de sécurité Benjamin Flesch a obtenu des fonds pour obtenir une chance dans ChatGPT-Crawler pour les attaques DDoS. Vous avez besoin d’une seule réponse HTTP et de l’API ChatGPT sur un site Web unique avec des fragments de réseau des robots d’exploration ChatGPT à explorer.

« L’API contient une liste d’hyperliens », a indiqué l’expert. Jedoch werde nicht geprüft, ob die Hyperlinks trotz leicht veränderter Schreibweise alle zur gleichen Ressource führen. Zudem sei die maximale Anzahl übergebener Hyperlinks nicht begrenzt. « Dies ermöglicht die Übertragung von vielen Tausend Hyperlinks innerhalb einer einzigen HTTP-Anfrage », donc Flesch.

Envoyez le ChatGPT-Crawler pour ces liens dans une page HTTP sur le site Web le plus précieux, qui est plus loin dans la recherche. Cette demande est disponible sur le serveur OpenAIs dans le Microsoft-Azure-Cloud. « L’option n’a pas été prise en compte, car je n’ai pas pu voir le chatGPT-Bot sur le site Web de etwa 20 adresses IP différentes au-dessus de la référence », commente Flesch publié sur le portail d’actualités The Register. Le robot est lui-même à cause des blocages d’attaques, et à cause d’un pare-feu, il n’est pas possible de supprimer la ressource Web des opérations plus loin.

Meilleure réaction d’OpenAI

Le spécialiste de la sécurité veut qu’OpenAI ait les mêmes informations sur le serveur Web, pour essayer de limiter les attaques sur le serveur Web. « Après la recherche d’hyperliens, les URL de paramètres et les URL d’OpenAI peuvent être utilisées de manière excessive, vous pouvez faire de grandes recherches sur les liaisons des serveurs OpenAI sur le site Web des options en cours », avertit-il dans une déclaration sur Github.

Nach eigenen Angaben hat Flesch the Sicherheitsproblem sowohl bei OpenAI ainsi que Microsoft gemeldet. Trotz mehrerer Kontaktversuche habe jedoch keiner der beiden Tech-Konzerne auf seine Anfragen reagiert. Auch Anfragen von The Register qui OpenAI ne propose pas de réponse.


vgwort