یك پژوهشگر حوزه امنیت سیستم مدعی شد
چت جی پی تی به وب سایت ها حمله می کند!
سرگرمی کامپیوتری: یک پژوهشگر حوزه امنیت سیستم معتقد می باشد که یک نقص نرم افزاری در «چت جی پی تی»، امکان حمله به وب سایت ها را فراهم می آورد و «اوپن ای آی» و «مایکروسافت» هیچ اقدامی برای برطرف نمودن آن انجام نداده اند.
به گزارش سرگرمی کامپیوتری به نقل از ایسنا، «بنجامین فلش»(Benjamin Flesch)، پژوهشگر حوزه امنیت سیستم در یک مقاله جدید مدعی شده است که روبات های «چت جی پی تی»(ChatGPT) را بوسیله ارسال درخواست HTTP به «واسط برنامه نویسی کاربردی» یا «ای پی آی»(API) آنها می توان برای «حمله محروم سازی از سرویس توزیع شده»(DDoS) به یک وب سایت تحریک کرد.
به نقل از گیت هاب، این نقص در نرم افزار شرکت «اوپن ای آی»(OpenAI) به ایجاد یک حمله DDoS به وب سایت قربانی منجر می شود که از چندین محدوده آدرس «آی پی»(IP) سرویس محاسبات فضای ابری «مایکروسافت آژور»(Microsoft Azure) محل اجرای چت جی پی تی بهره می گیرد.
بگفته فلش، ای پی آی چت جی پی تی هنگام رسیدگی به درخواست های HTTP، یک نقص کیفی شدید را نشان میدهد. ای پی آی، یک لیست از لینک ها را در پارامتر urls انتظار دارد. بطور معمول مشخص است که هایپرلینک های یک وب سایت را می توان به روش های متفاوتی نوشت. به سبب شیوه های بد برنامه نویسی، اوپن ای آی بررسی نمی کند که آیا لینک های ارجاع داده شده به یک منبع چندین بار در لیست ظاهر می شوند یا خیر. همچنین، اوپن ای آی هیچ محدودیتی برای حداکثر تعداد لینک های ذخیره شده در پارامتر urls اعمال نمی نماید. در نتیجه، امکان انتقال هزاران لینک در یک درخواست HTTP را فراهم می آورد.
بلا فاصله بعد از دریافت یک درخواست خوب HTTP، اوپن ای آی درخواست HTTP را برای همه لینک های موجود در پارامتر urls از سرورهای شرکت که در فضای ابری مایکروسافت آژور است، شروع می کند. در این مرحله، یک وب سایت قربانی با کوشش های زیادی برای اتصال موازی و درخواست های HTTP از سرورهای اوپن ای آی روبه رو می شود. بااینکه اوپن ای آی می داند که تعداد زیادی درخواست بصورت هم زمان به یک وب سایت ارسال می شوند، اما برای محدود کردن تعداد اتصالات به همان وب سایت یا حتی ممانعت از صدور درخواست های تکراری به همان منبع هیچ تلاشی نمی کند.
بسته به تعداد لینک های فرستاده شده به اوپن ای آی بوسیله پارامتر urls، تعداد زیادی از اتصالات سرورهای این شرکت ممکنست وب سایت قربانی را تحت تأثیر قرار دهند.
این نقص نرم افزاری، یک عامل تقویت قابل توجه را برای حملات بالقوه DDoS فراهم می آورد. فلش معتقد می باشد که اوپن ای آی فقدان فرآیندهای کنترل کیفیت را در مهندسی نرم افزار خود نشان داده و باید این نقص را در سریعترین زمان برطرف کند.
این نقص نرم افزاری در ژانویه ۲۰۲۵ کشف شد و به اوپن ای آی به عنوان مالک نرم افزار معیوب و مایکروسافت به عنوان مالک سرورهای مسئول تعداد زیادی از درخواست های بالقوه مخرب اطلاع داده شد.
با وجود کوشش های زیاد برای برطرف نمودن این نقص نرم افزاری، واکنش هیچ یک از طرفین در زمان مقرر ممکن نشد. کوشش های انجام شده به شرح زیر هستند.
۱. تماس با گروه امنیتی اوپن ای آی بوسیله پلت فرم گزارش لطمه پذیری «باگ کرود»(BugCrowd) که از طرف شرکت بدون پاسخ ماند.
۲. تماس با گروه امنیتی اوپن ای آی بوسیله ایمیل به disclosure@openai.com که از طرف شرکت بدون پاسخ ماند.
۳. تماس با کارکنان اوپن ای آی بوسیله ارسال گزارش ها و سفارش های امنیتی به بخش Repository گیت هاب آنها که از طرف شرکت بدون پاسخ ماند.
۴. تماس با مسئول حریم خصوصی داده ها در اوپن ای آی بوسیله ایمیل به privacy@openai.com و dsar@openai.com که پاسخ آن توسط هوش مصنوعی با اشاره به وب سایت پرسش و پاسخ نوشته شد.
۵. تماس با کارکنان پشتیبانی اوپن ای آی بوسیله ایمیل به support@openai.com که پاسخ آن توسط هوش مصنوعی با اشاره به وب سایت پرسش و پاسخ نوشته شد.
۶. تماس با گروه امنیتی مایکروسافت بوسیله ایمیل به safe@microsoft.com و abuse@microsoft.com و بسیاری دیگر که از جانب مایکروسافت بدون پاسخ ماند.
۷. تماس با گروه امنیتی مایکروسافت بوسیله فرم های پرشده در cert.microsoft.com که پاسخ آن توسط هوش مصنوعی داده شد و این پاسخ، «پرونده بسته شده» بود.
۸. تماس با گروه عملیات شبکه مایکروسافت آژور بوسیله ایمیل که از جانب مایکروسافت بدون پاسخ ماند.
۹. تماس با گروه امنیتی شرکت «کلودفلر»(CloudFlare) بوسیله گزارش «هکروان»(HackerOne) برای اینکه کلودفلر، سرور را به وب سایت چت جی پی تی ارائه می دهد. کارمندان هکروان از فرستادن اطلاعات به کلودفلر خودداری کردند.
فلش نوشت: از روز جمعه ۱۰ ژانویه ۲۰۲۵ بعد از فرستادن گزارش های مختلف بوسیله کانال های ارتباطی قانونی، این نقص نرم افزاری نه توسط اوپن ای آی و مایکروسافت برطرف شد و نه وجود آن مورد تایید آنها قرار گرفت.
منبع: pcfun.ir
این مطلب را می پسندید؟
(0)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب