Abierto AI ChatGPT La API contiene una vulnerabilidad que puede explotarse para iniciar un ataque distribuido de denegación de servicio (DDoS) en sitios web, según detalles compartidos por un investigador de ciberseguridad. Se dice que el chatbot se puede utilizar para enviar miles de solicitudes de red a un sitio web utilizando el rastreador ChatGPT. El investigador afirma que la vulnerabilidad, que ha sido clasificada como de alto riesgo, sigue activa y no hay respuesta de la empresa sobre cuándo se solucionará el problema.
La API ChatGPT permite múltiples solicitudes de red paralelas al mismo sitio web
en github correo Compartido a principios de este mes, Benjamin Fleisch, un investigador de seguridad con sede en Alemania, detalló la vulnerabilidad encontrada en la API ChatGPT. El investigador también publicó un código de prueba de concepto que envía 50 solicitudes HTTP paralelas a un sitio web de prueba, lo que revela cómo se podría utilizar el error para desencadenar un ataque DDoS.
Según Flesch, la vulnerabilidad aparece al manejar solicitudes HTTP POST a https://chatgpt.com/backend-api/attributions. Es una forma de enviar datos a un servidor, generalmente utilizado por un punto final API para crear nuevos recursos. Al implementar esta funcionalidad, la API ChatGPT requiere una lista de hipervínculos en el parámetro URL.
En lo que parece ser un error en su API, Abierto AI Según el investigador, no comprueba si un hipervínculo al mismo recurso aparece varias veces en la lista. Dado que los hipervínculos a un sitio web se pueden escribir de diferentes maneras, esto hace que el rastreador envíe varias solicitudes de red paralelas al mismo sitio web. Además, Flesch afirma que OpenAI no impone un límite en la cantidad máxima de hipervínculos que se pueden agregar a un parámetro de URL y enviar en una sola solicitud.
Como resultado, un actor malintencionado podría enviar miles de visitas a un sitio web, lo que podría saturar rápidamente su servidor. El investigador de seguridad le dio a esta vulnerabilidad una calificación de gravedad alta de “8.6 CVSS” porque está basada en red, tiene una baja complejidad de implementación y no requiere privilegios ni interacción del usuario, pero puede causar un impacto significativo en la disponibilidad.
Flesch afirmó haber contactado tanto con OpenAI como microsoft (donde sus servidores alojan la API ChatGPT) informó sobre la vulnerabilidad varias veces a través de varios canales después de que se descubrió el error en enero. Afirmó haber informado al equipo de seguridad de OpenAI, a los empleados de OpenAI a través de informes, al responsable de privacidad de datos de OpenAI, así como al equipo de seguridad de Microsoft y a Azure Network Operations.
A pesar de realizar varios intentos de informar de la vulnerabilidad, el investigador afirmó que el problema no se había resuelto y que la empresa de IA no había reconocido su existencia. El personal de Gadgets 360 no pudo verificar el error en el chatbot.