یك پژوهشگر حوزه امنیت سیستم مدعی شد
چت جی پی تی به وبسایت ها حمله می کند!
به گزارش سایت شیک، یک پژوهشگر حوزه امنیت سیستم اعتقاد دارد که یک نقص نرم افزاری در «چت جی پی تی»، امکان حمله به وبسایت ها را فراهم می آورد و «اوپن ای آی» و «مایکروسافت» هیچ اقدامی برای مرتفع ساختن آن انجام نداده اند.
به گزارش سایت شیک به نقل از ایسنا، «بنجامین فلش»(Benjamin Flesch)، پژوهشگر حوزه امنیت سیستم در یک مقاله جدید مدعی شده است که روبات های «چت جی پی تی»(ChatGPT) را از راه ارسال درخواست HTTP به «واسط برنامه نویسی کاربردی» یا «ای پی آی»(API) آنها میتوان برای «حمله محروم سازی از سرویس توزیع شده»(DDoS) به یک وبسایت تحریک کرد.
به نقل از گیت هاب، این نقص در نرم افزار شرکت «اوپن ای آی»(OpenAI) به ایجاد یک حمله DDoS به وبسایت قربانی منجر می شود که از چندین محدوده آدرس «آی پی»(IP) سرویس محاسبات فضای ابری «مایکروسافت آژور»(Microsoft Azure) محل اجرای چت جی پی تی استفاده می نماید.
به قول فلش، ای پی آی چت جی پی تی هنگام رسیدگی به درخواست های HTTP، یک نقص کیفی شدید را نشان داده است. ای پی آی، یک لیست از لینک ها را در پارامتر urls انتظار دارد. معمولاً مشخص است که هایپرلینک های یک وبسایت را میتوان به روش های متفاوتی نوشت. به علت شیوه های بد برنامه نویسی، اوپن ای آی بررسی نمی کند که آیا لینک های ارجاع داده شده به یک منبع چندین بار در لیست ظاهر می شوند یا خیر. همچنین، اوپن ای آی هیچ محدودیتی برای حداکثر تعداد لینک های ذخیره شده در پارامتر urls اعمال نمی نماید. در نتیجه، امکان انتقال هزاران لینک در یک درخواست HTTP را فراهم می آورد.
فورا بعد از دریافت یک درخواست خوب HTTP، اوپن ای آی درخواست HTTP را برای همه لینک های موجود در پارامتر urls از سرورهای شرکت که در فضای ابری مایکروسافت آژور است، آغاز می کند. در این مرحله، یک وبسایت قربانی با تلاشهای زیادی برای اتصال موازی و درخواست های HTTP از سرورهای اوپن ای آی روبه رو می شود. باآنکه اوپن ای آی می داند که تعداد زیادی درخواست به شکل هم زمان به یک وبسایت ارسال می شوند، اما برای محدود کردن تعداد اتصالات به همان وبسایت یا حتی پیشگیری از صدور درخواست های تکراری به همان منبع هیچ تلاشی نمی کند.
بسته به تعداد لینک های فرستاده شده به اوپن ای آی از راه پارامتر urls، تعداد زیادی از اتصالات سرورهای این شرکت امکان دارد وبسایت قربانی را تحت تاثیر قرار دهند.
این نقص نرم افزاری، یک عامل تقویت قابل توجه را برای حملات بالقوه DDoS فراهم می آورد. فلش اعتقاد دارد که اوپن ای آی فقدان فرآیندهای کنترل کیفیت را در مهندسی نرم افزار خود نشان داده و باید این نقص را در اولین فرصت برطرف کند.
این نقص نرم افزاری در ژانویه ۲۰۲۵ کشف شد و به اوپن ای آی بعنوان مالک نرم افزار معیوب و مایکروسافت بعنوان مالک سرورهای مسئول تعداد زیادی از درخواست های بالقوه مخرب اطلاع داده شد.
با وجود تلاشهای زیاد برای مرتفع ساختن این نقص نرم افزاری، واکنش هیچ یک از طرفین در زمان مقرر ممکن نشد. تلاشهای صورت گرفته به شرح زیر هستند.
۱. تماس با گروه امنیتی اوپن ای آی از راه پلت فرم گزارش صدمه پذیری «باگ کرود»(BugCrowd) که از جانب شرکت بدون پاسخ ماند.
۲. تماس با گروه امنیتی اوپن ای آی از راه ایمیل به disclosure@openai.com که از جانب شرکت بدون پاسخ ماند.
۳. تماس با کارکنان اوپن ای آی از راه ارسال گزارش ها و سفارش های امنیتی به بخش Repository گیت هاب آنها که از جانب شرکت بدون پاسخ ماند.
۴. تماس با مسئول حریم خصوصی داده ها در اوپن ای آی از راه ایمیل به privacy@openai.com و dsar@openai.com که پاسخ آن توسط هوش مصنوعی ضمن اشاره به وبسایت پرسش و پاسخ نوشته شد.
۵. تماس با کارکنان پشتیبانی اوپن ای آی از راه ایمیل به support@openai.com که پاسخ آن توسط هوش مصنوعی ضمن اشاره به وبسایت پرسش و پاسخ نوشته شد.
۶. تماس با گروه امنیتی مایکروسافت از راه ایمیل به safe@microsoft.com و abuse@microsoft.com و بسیاری دیگر که از سوی مایکروسافت بدون پاسخ ماند.
۷. تماس با گروه امنیتی مایکروسافت از راه فرم های پرشده در cert.microsoft.com که پاسخ آن توسط هوش مصنوعی داده شد و این پاسخ، «پرونده بسته شده» بود.
۸. تماس با گروه عملیات شبکه مایکروسافت آژور از راه ایمیل که از سوی مایکروسافت بدون پاسخ ماند.
۹. تماس با گروه امنیتی شرکت «کلودفلر»(CloudFlare) از راه گزارش «هکروان»(HackerOne) چونکه کلودفلر، سرور را به وبسایت چت جی پی تی عرضه می دهد. کارمندان هکروان از فرستادن اطلاعات به کلودفلر خودداری کردند.
فلش نوشت: از روز جمعه ۱۰ ژانویه ۲۰۲۵ بعد از فرستادن گزارش های متعدد از راه کانال های ارتباطی قانونی، این نقص نرم افزاری نه توسط اوپن ای آی و مایکروسافت برطرف شد و نه وجود آن مورد تایید آنها قرار گرفت.
منبع: shiksite.ir
این مطلب سایت شیک را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب