Новости Поисковый бот ChatGPT может DDoS'ить сайты, нужен лишь один HTTP-запрос

[BOOX]

Поведением поискового бота ChatGPT можно манипулировать с помощью выявленной уязвимости:

При определённых запросах веб-краулер OpenAI будет фактически проводить DDoS-атаки на произвольные сайты. Об интересной бреши сообщил исследователь в области кибербезопасности Бенджамин Флеш.

По его словам, всего один HTTP-запрос к API ChatGPT может спровоцировать флуд определённого веб-ресурса нескончаемыми сетевыми запросами.

На деле может оказаться, что мощности таких DDoS-атак не хватит для вывода из строя хорошо защищённых сайтов, однако эксперт всё равно считает это недоработкой OpenAI. Например, веб-краулер ChatGPT может каждую секунду добавлять к одному API-запросу от 20 до 5000 или даже больше таких же запросов к выбранному веб-сайту.

«API ChatGPT содержит серьёзный изъян при обработке запросов HTTP POST к

Для просмотра ссылки необходимо нажать Вход или Регистрация

. Если вы скормите API большой список URL, каждый из которых будет совсем незначительно отличаться, но при этом вести на один ресурс, веб-краулер будет стучаться параллельно по всем этим ссылкам», — объясняет Флеш.

К сожалению, поисковой бот не проверяет повторяющиеся ссылки на один и тот же сайт, а также не ограничивает максимальное число гиперссылок в параметре URL. В случае эксплуатации этого недостатка владелец веб-сайта будет видеть лишь подключение веб-краулера ChatGPT с 20 разных IP-адресов.

Даже при блокировке этих адресов файрволом бот ChatGPT всё равно продолжит отправлять запросы.

Для просмотра ссылки необходимо нажать Вход или Регистрация