یک پژوهشگر حوزه امنیت سیستم معتقد است که یک نقص نرمافزاری در «چتجیپیتی»، امکان حمله به وبسایتها را فراهم میکند و «اوپنایآی» و «مایکروسافت» هیچ اقدامی برای برطرف کردن آن انجام ندادهاند.
به گزارش نیوزلند، «بنجامین فلش»(Benjamin Flesch)، پژوهشگر حوزه امنیت سیستم در یک مقاله جدید مدعی شده است که رباتهای «چتجیپیتی»(ChatGPT) را از طریق ارسال درخواست HTTP به «واسط برنامهنویسی کاربردی» یا «ایپیآی»(API) آنها میتوان برای «حمله محرومسازی از سرویس توزیع شده»(DDoS) به یک وبسایت تحریک کرد.
به نقل از گیتهاب، این نقص در نرمافزار شرکت «اوپنایآی»(OpenAI) به ایجاد یک حمله DDoS به وبسایت قربانی منجر میشود که از چندین محدوده آدرس «آیپی»(IP) سرویس محاسبات فضای ابری «مایکروسافت آژور»(Microsoft Azure) محل اجرای چتجیپیتی استفاده میکند.
به گفته فلش، ایپیآی چتجیپیتی هنگام رسیدگی به درخواستهای HTTP، یک نقص کیفی شدید را نشان میدهد. ایپیآی، یک فهرست از لینکها را در پارامتر urls انتظار دارد. معمولا مشخص است که هایپرلینکهای یک وبسایت را میتوان به روشهای متفاوتی نوشت. به دلیل شیوههای بد برنامهنویسی، اوپنایآی بررسی نمیکند که آیا لینکهای ارجاعدادهشده به یک منبع چندین بار در فهرست ظاهر میشوند یا خیر. همچنین، اوپنایآی هیچ محدودیتی برای حداکثر تعداد لینکهای ذخیرهشده در پارامتر urls اعمال نمیکند. در نتیجه، امکان انتقال هزاران لینک در یک درخواست HTTP را فراهم میآورد.
بلافاصله پس از دریافت یک درخواست خوب HTTP ، اوپنایآی درخواست HTTP را برای همه لینکهای موجود در پارامتر urls از سرورهای شرکت که در فضای ابری مایکروسافت آژور است، آغاز میکند. در این مرحله، یک وبسایت قربانی با تلاشهای زیادی برای اتصال موازی و درخواستهای HTTP از سرورهای اوپنایآی روبهرو میشود. اگرچه اوپنایآی میداند که تعداد زیادی درخواست به صورت همزمان به یک وبسایت ارسال میشوند، اما برای محدود کردن تعداد اتصالات به همان وبسایت یا حتی جلوگیری از صدور درخواستهای تکراری به همان منبع هیچ تلاشی نمیکند.
بسته به تعداد لینکهای فرستادهشده به اوپنایآی از طریق پارامتر urls، تعداد زیادی از اتصالات سرورهای این شرکت ممکن است وبسایت قربانی را تحت تأثیر قرار دهند.
این نقص نرمافزاری، یک عامل تقویت قابل توجه را برای حملات بالقوه DDoS فراهم میکند. فلش معتقد است که اوپنایآی فقدان فرآیندهای کنترل کیفیت را در مهندسی نرمافزار خود نشان داده و باید این نقص را در اسرع وقت برطرف کند.
این نقص نرمافزاری در ژانویه ۲۰۲۵ کشف شد و به اوپنایآی به عنوان مالک نرمافزار معیوب و مایکروسافت به عنوان مالک سرورهای مسئول تعداد زیادی از درخواستهای بالقوه مخرب اطلاع داده شد.
با وجود تلاشهای زیاد برای برطرف کردن این نقص نرمافزاری، واکنش هیچ یک از طرفین در زمان مقرر ممکن نشد. تلاشهای صورتگرفته به شرح زیر هستند.
۱. تماس با گروه امنیتی اوپنایآی از طریق پلتفرم گزارش آسیبپذیری «باگکرود»(BugCrowd) که از سوی شرکت بدون پاسخ ماند.
۲. تماس با گروه امنیتی اوپنایآی از طریق ایمیل به disclosure@openai.com که از سوی شرکت بدون پاسخ ماند.
۳. تماس با کارکنان اوپنایآی از طریق ارسال گزارشها و توصیههای امنیتی به بخش Repository گیتهاب آنها که از سوی شرکت بدون پاسخ ماند.
۴. تماس با مسئول حریم خصوصی دادهها در اوپنایآی از طریق ایمیل به privacy@openai.com و dsar@openai.com که پاسخ آن توسط هوش مصنوعی با اشاره به وبسایت پرسش و پاسخ نوشته شد.
۵. تماس با کارکنان پشتیبانی اوپنایآی از طریق ایمیل به support@openai.com که پاسخ آن توسط هوش مصنوعی با اشاره به وبسایت پرسش و پاسخ نوشته شد.
۶. تماس با گروه امنیتی مایکروسافت از طریق ایمیل به safe@microsoft.com و abuse@microsoft.com و بسیاری دیگر که از طرف مایکروسافت بدون پاسخ ماند.
۷. تماس با گروه امنیتی مایکروسافت از طریق فرمهای پرشده در cert.microsoft.com که پاسخ آن توسط هوش مصنوعی داده شد و این پاسخ، «پرونده بسته شده» بود.
۸. تماس با گروه عملیات شبکه مایکروسافت آژور از طریق ایمیل که از طرف مایکروسافت بدون پاسخ ماند.
۹. تماس با گروه امنیتی شرکت «کلودفلر»(CloudFlare) از طریق گزارش «هکروان»(HackerOne) زیرا کلودفلر، سرور را به وبسایت چتجیپیتی ارائه میدهد. کارمندان هکروان از فرستادن اطلاعات به کلودفلر خودداری کردند.
فلش نوشت: از روز جمعه ۱۰ ژانویه ۲۰۲۵ پس از فرستادن گزارشهای گوناگون از طریق کانالهای ارتباطی قانونی، این نقص نرمافزاری نه توسط اوپنایآی و مایکروسافت برطرف شد و نه وجود آن مورد تایید آنها قرار گرفت.
انتهای پیام
منبع:www.isna.ir
