[4]ChatGPT Crawler漏洞通过HTTP请求进行DDOS攻击-小百科

小百科,大世界
ChatGPT 的网络爬虫行为可通过一个已发现的漏洞加以利用：在特定的查询条件下，OpenAI 的机器人可能会无意中对任意网站执行 DDoS 攻击。网络安全研究员本杰明-弗莱施（Benjamin Flesch）报告了这一引人关注的漏洞。据他称，对 ChatGPT API 的单个 HTTP 请求可能会触发大量针对特定网络资源的无情网络请求。虽然这种 DDoS 攻击的规模可能不足以让保护良好的网站瘫痪，但这位研究员仍然认为这是 OpenAI 的一个重大疏忽。例如，ChatGPT 爬虫每秒可能向同一网站发出 20 到 5,000 次（甚至更多次）API 查询。 “ChatGPT API 在处理 /backend-api/attributions 的 HTTP POST 请求时表现出严重的质量缺陷。该 API 在参数 urls 中期待一个超链接列表。众所周知，指向同一网站的超链接可以有多种不同的写法。由于糟糕的编程实践，OpenAI 不会检查指向同一资源的超链接是否在列表中出现多次。”Flesch解释说：“OpenAI也不对存储在urls参数中的超链接最大数量进行限制，因此可以在单个HTTP请求中传输数千个超链接。” 不幸的是，网络爬虫不会检查指向同一域的重复链接，也不会限制 URL 参数中超链接的最大数量。一旦这个漏洞被利用，受影响的网站所有者就会观察到来自 ChatGPT 爬虫的流量。即使通过防火墙阻止了这些地址，爬虫仍会继续无情地发送请求。截至 2025 年 1 月 10 日星期五，尽管通过官方法律渠道进行了多次报告，但 OpenAI 或微软仍未解决这一软件缺陷问题，两家公司也都未承认其存在。本文翻译自securityonline 原文链接。如若转载请注明出处。商务合作，文章发布请联系 anquanke@360.cn 本文由安全客原创发布转载，请参考转载声明，注明出处： /post/id/303678 安全KER - 有思想的安全新媒体 [来源: 安全客]
首页 / 计算机 / IT资讯

ChatGPT 的网络爬虫行为可通过一个已发现的漏洞加以利用：在特定的查询条件下，OpenAI 的机器人可能会无意中对任意网站执行 DDoS 攻击。网络安全研究员本杰明-弗莱施（Benjamin Flesch）报告了这一引人关注的漏洞。据他称，对 ChatGPT API 的单个 HTTP 请求可能会触发大量针对特定网络资源的无情网络请求。

虽然这种 DDoS 攻击的规模可能不足以让保护良好的网站瘫痪，但这位研究员仍然认为这是 OpenAI 的一个重大疏忽。例如，ChatGPT 爬虫每秒可能向同一网站发出 20 到 5,000 次（甚至更多次）API 查询。

“ChatGPT API 在处理 /backend-api/attributions 的 HTTP POST 请求时表现出严重的质量缺陷。该 API 在参数 urls 中期待一个超链接列表。众所周知，指向同一网站的超链接可以有多种不同的写法。由于糟糕的编程实践，OpenAI 不会检查指向同一资源的超链接是否在列表中出现多次。”Flesch解释说：“OpenAI也不对存储在urls参数中的超链接最大数量进行限制，因此可以在单个HTTP请求中传输数千个超链接。”

不幸的是，网络爬虫不会检查指向同一域的重复链接，也不会限制 URL 参数中超链接的最大数量。一旦这个漏洞被利用，受影响的网站所有者就会观察到来自 ChatGPT 爬虫的流量。即使通过防火墙阻止了这些地址，爬虫仍会继续无情地发送请求。

截至 2025 年 1 月 10 日星期五，尽管通过官方法律渠道进行了多次报告，但 OpenAI 或微软仍未解决这一软件缺陷问题，两家公司也都未承认其存在。

本文翻译自securityonline 原文链接。如若转载请注明出处。

商务合作，文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载，请参考转载声明，注明出处： /post/id/303678

安全KER - 有思想的安全新媒体

[来源: 安全客]

[4]ChatGPT Crawler漏洞通过HTTP请求进行DDOS攻击 繁體

[4]ChatGPT Crawler漏洞通过HTTP请求进行DDOS攻击 ^繁體