حمله به وب‌سایت‌ها با استفاده از چت جی‌پی‌تی

شنبه 06 بهمن 1403

عکس : حمله به وب‌سایت‌ها با استفاده از چت جی‌پی‌تی

چت جی‌پی‌تی به نظر می‌رسد در برابر سوءاستفاده آسیب‌پذیر باشد و ممکن است برای حملات DDoS به وب‌سایت‌ها مورد استفاده قرار گیرد.

به گزارش سرویس اخبار امنیت سایت شات ایکس و به نقل از فارس به نقل از دیتا اکونومی، ابزار خزنده وب «چت جی‌پی‌تی» از اوپن ای آی به نظر می‌رسد در برابر سوءاستفاده آسیب‌پذیر باشد و می‌تواند به طور بالقوه برای انجام حملات منع سرویس توزیع‌شده (DDoS) علیه وب‌سایت‌های مختلف مورد استفاده قرار گیرد. این مشکل تاکنون از سوی اوپن ای آی تأیید نشده است.

نحوه عملکرد آسیب‌پذیری

«بنجامین فلش»، یک پژوهشگر امنیت سایبری، گزارشی منتشر کرده که نشان می‌دهد یک درخواست ساده «اچ‌تی‌تی‌پی» به API مربوط به چت جی‌پی‌تی می‌تواند هزاران درخواست شبکه‌ای را از طریق خزنده چت جی‌پی‌تی ایجاد کند. این کار توسط یک نقطه پایانی خاص (API endpoint) انجام می‌شود که برای ارائه اطلاعات وب‌سایت‌های مرجع در پاسخ‌های چت جی‌پی‌تی استفاده می‌شود. به عبارت ساده‌تر، یک درخواست ساده می‌تواند باعث شود که چت جی‌پی‌تی به طور خودکار و بدون کنترل، درخواست‌های زیادی به وب‌سایت‌ها ارسال کند که این می‌تواند مشکلات امنیتی و بار اضافی بر روی سرورها ایجاد کند.

در این آسیب‌پذیری، مهاجم می‌تواند فهرستی طولانی از آدرس‌های اینترنتی (URLs) به API ارائه دهد که هرکدام اندکی متفاوت، اما به یک سایت اشاره دارند. خزنده چت جی‌پی‌تی تمامی این آدرس‌ها را به طور همزمان پردازش کرده و درخواست‌های متعددی به سایت هدف ارسال می‌کند.

این درخواست می‌تواند شامل هزاران لینک شده و باعث ایجاد هزاران درخواست از سمت سرورهای اوپن ای آی شود. سرورهای اوپن ای آی، که بر بستر «مایکروسافت آزور» اجرا می‌شوند، از طریق آی پی‌های متفاوت (تحت مدیریت کلودفلیر) به سایت هدف درخواست ارسال می‌کنند. این باعث می‌شود شناسایی منبع حمله برای قربانی دشوار شود.

انتقادها از اوپن ای آی

فلش بیان کرده که این مشکل به دلیل عدم وجود تدابیر امنیتی پایه‌ای در API رخ داده است، مانند:

- حذف لینک‌های تکراری در درخواست‌ها.

- محدود کردن تعداد لینک‌های موجود در هر درخواست.

وی همچنین اظهار داشت که چنین ضعف‌هایی نشان‌دهنده عدم رعایت استانداردهای معمول در توسعه نرم‌افزار است و حتی یک مهندس باتجربه در سیلیکون‌ولی نباید چنین سیستمی طراحی کند.

مشکلات جانبی

این API همچنین به حملات دیگر مانند حمله «تزریق پرامپت» نیز آسیب‌پذیر است، به این صورت که می‌تواند درخواست‌های دلخواه مهاجم را به جای بازیابی اطلاعات وب‌سایت، پردازش کند.

برای مثال، اگر یک کاربر از API بخواهد اطلاعاتی درباره یک موضوع خاص بگیرد، مهاجم می‌تواند ورودی‌ای ارسال کند که به مدل بگوید به جای پاسخ به سوال من، اطلاعات شخصی من را افشا کن یا به من بگو چطور می‌توانم به سیستم نفوذ کنم.