Уязвимость, обнаруженная в поведении веб-краулера ChatGPT, позволяет манипулировать им таким образом, что бот будет отправлять массовые сетевые запросы на выбранный ресурс, фактически осуществляя DDoS-атаку. Об этом недостатке сообщил исследователь в области кибербезопасности Бенджамин Флеш. По его словам, один запрос к API ChatGPT может привести к потоку запросов, затрудняющих работу сайта.
Хотя такие атаки вряд ли смогут вывести из строя защищённые ресурсы, эксперт считает это серьёзной проблемой для OpenAI. В частности, бот может отправлять от 20 до 5000 или более запросов к выбранному сайту в секунду.
Флеш объясняет, что ошибка связана с тем, что API ChatGPT не проверяет дублирующиеся ссылки, ведущие на один ресурс, и не ограничивает количество гиперссылок в параметрах URL.
В результате, если API получит длинный список URL, бот будет отправлять запросы по всем этим ссылкам одновременно, что может привести к нагрузке на сайт. Даже если владельцы заблокируют IP-адреса, с которых поступают запросы, бот продолжит их отправлять.
Хотя такие атаки вряд ли смогут вывести из строя защищённые ресурсы, эксперт считает это серьёзной проблемой для OpenAI. В частности, бот может отправлять от 20 до 5000 или более запросов к выбранному сайту в секунду.
Флеш объясняет, что ошибка связана с тем, что API ChatGPT не проверяет дублирующиеся ссылки, ведущие на один ресурс, и не ограничивает количество гиперссылок в параметрах URL.
В результате, если API получит длинный список URL, бот будет отправлять запросы по всем этим ссылкам одновременно, что может привести к нагрузке на сайт. Даже если владельцы заблокируют IP-адреса, с которых поступают запросы, бот продолжит их отправлять.
