×
اقتصادی
شناسه خبر : 209785
تاریخ انتشار : چهارشنبه 1403/11/03 ساعت 19:41

«چت‌جی‌پی‌تی» خطرناک است/ روبات هوشمند «اوپن‌ای‌آی» به وب‌سایت‌ها حمله می‌کند

یک پژوهشگر حوزه امنیت سیستم گفت: نرم‌افزار روبات هوشمند «چت‌جی‌پی‌تی» باگ امنیتی دارد و به همین دلیل امکان حمله سایبری از طریق آن به وب‌سایت‌ها وجود دارد.

نورنیوز- گروه اقتصادی: «بنجامین فلش»(Benjamin Flesch)، پژوهشگر حوزه امنیت سیستم در یک مقاله جدید مدعی شده است که ربات‌های «چت‌جی‌پی‌تی»(ChatGPT) را از طریق ارسال درخواست HTTP به «واسط برنامه‌نویسی کاربردی» یا «ای‌پی‌آی»(API) آنها می‌توان برای «حمله محروم‌سازی از سرویس توزیع شده»(DDoS) به یک وب‌سایت تحریک کرد.

این نقص در نرم‌افزار شرکت «اوپن‌ای‌آی»(OpenAI) به ایجاد یک حمله DDoS به وب‌سایت قربانی‌ منجر می‌شود که از چندین محدوده آدرس «آی‌پی»(IP) سرویس محاسبات فضای ابری «مایکروسافت آژور»(Microsoft Azure) محل اجرای چت‌جی‌پی‌تی استفاده می‌کند.

به گفته فلش، ای‌پی‌آی چت‌جی‌پی‌تی هنگام رسیدگی به درخواست‌های HTTP، یک نقص کیفی شدید را نشان می‌دهد. ای‌پی‌آی، یک فهرست از لینک‌ها را در پارامتر urls انتظار دارد. معمولا مشخص است که هایپرلینک‌های یک وب‌سایت را می‌توان به روش‌های متفاوتی نوشت. به دلیل شیوه‌های بد برنامه‌نویسی، اوپن‌ای‌آی بررسی نمی‌کند که آیا لینک‌های ارجاع‌داده‌شده به یک منبع چندین بار در فهرست ظاهر می‌شوند یا خیر. همچنین، اوپن‌ای‌آی هیچ محدودیتی برای حداکثر تعداد لینک‌های ذخیره‌شده در پارامتر urls اعمال نمی‌کند. در نتیجه، امکان انتقال هزاران لینک در یک درخواست HTTP را فراهم می‌آورد.

بلافاصله پس از دریافت یک درخواست خوب HTTP ، اوپن‌ای‌آی درخواست HTTP را برای همه لینک‌های موجود در پارامتر urls از سرورهای شرکت که در فضای ابری مایکروسافت آژور است، آغاز می‌کند. در این مرحله، یک وب‌سایت قربانی با تلاش‌های زیادی برای اتصال موازی و درخواست‌های HTTP از سرورهای اوپن‌ای‌آی روبه‌رو می‌شود. اگرچه اوپن‌ای‌آی می‌داند که تعداد زیادی درخواست به صورت هم‌زمان به یک وب‌سایت ارسال می‌شوند، اما برای محدود کردن تعداد اتصالات به همان وب‌سایت یا حتی جلوگیری از صدور درخواست‌های تکراری به همان منبع هیچ تلاشی نمی‌کند.

بسته به تعداد لینک‌های فرستاده‌شده به اوپن‌ای‌آی از طریق پارامتر urls، تعداد زیادی از اتصالات سرورهای این شرکت ممکن است وب‌سایت قربانی را تحت تأثیر قرار دهند.

این نقص نرم‌افزاری، یک عامل تقویت قابل توجه را برای حملات بالقوه DDoS فراهم می‌کند. فلش معتقد است که اوپن‌ای‌آی فقدان فرآیندهای کنترل کیفیت را در مهندسی نرم‌افزار خود نشان داده و باید این نقص را در اسرع وقت برطرف کند.

این نقص نرم‌افزاری در ژانویه ۲۰۲۵ کشف شد و به اوپن‌ای‌آی به عنوان مالک نرم‌افزار معیوب و مایکروسافت به عنوان مالک سرورهای مسئول تعداد زیادی از درخواست‌های بالقوه مخرب اطلاع داده شد.

با وجود تلاش‌های زیاد برای برطرف کردن این نقص نرم‌افزاری، واکنش هیچ یک از طرفین در زمان مقرر ممکن نشد. تلاش‌های صورت‌گرفته به شرح زیر هستند.

۱. تماس با گروه امنیتی اوپن‌ای‌آی از طریق پلتفرم گزارش آسیب‌پذیری «باگ‌کرود»(BugCrowd) که از سوی شرکت بدون پاسخ ماند.

۲. تماس با گروه امنیتی اوپن‌ای‌آی از طریق ایمیل به disclosure@openai.com که از سوی شرکت بدون پاسخ ماند.

۳. تماس با کارکنان اوپن‌ای‌آی از طریق ارسال گزارش‌ها و توصیه‌های امنیتی به بخش Repository گیت‌هاب آنها که از سوی شرکت بدون پاسخ ماند.

۴. تماس با مسئول حریم خصوصی داده‌ها در اوپن‌ای‌آی از طریق ایمیل به privacy@openai.com و dsar@openai.com که پاسخ آن توسط هوش مصنوعی با اشاره به وب‌سایت پرسش و پاسخ نوشته شد.

۵. تماس با کارکنان پشتیبانی اوپن‌ای‌آی از طریق ایمیل به support@openai.com که پاسخ آن توسط هوش مصنوعی با اشاره به وب‌سایت پرسش و پاسخ نوشته شد.

۶. تماس با گروه امنیتی مایکروسافت از طریق ایمیل به safe@microsoft.com و abuse@microsoft.com و بسیاری دیگر که از طرف مایکروسافت بدون پاسخ ماند.

۷. تماس با گروه امنیتی مایکروسافت از طریق فرم‌های پرشده در cert.microsoft.com که پاسخ آن توسط هوش مصنوعی داده شد و این پاسخ، «پرونده بسته‌ شده» بود.

۸. تماس با گروه عملیات شبکه مایکروسافت آژور از طریق ایمیل که از طرف مایکروسافت بدون پاسخ ماند.

۹. تماس با گروه امنیتی شرکت «کلودفلر»(CloudFlare) از طریق گزارش «هکروان»(HackerOne) زیرا کلودفلر، سرور را به وب‌سایت چت‌جی‌پی‌تی ارائه می‌دهد. کارمندان هکروان از فرستادن اطلاعات به کلودفلر خودداری کردند.

فلش نوشت: از روز جمعه ۱۰ ژانویه ۲۰۲۵ پس از فرستادن گزارش‌های گوناگون از طریق کانال‌های ارتباطی قانونی، این نقص نرم‌افزاری نه توسط اوپن‌ای‌آی و مایکروسافت برطرف شد و نه وجود آن مورد تایید آنها قرار گرفت.


نورنیوز
نظرات

آگهی تبلیغاتی
آخرین اخبار
امکان شنود تماس‌های تلفنی از راه دور با هوش مصنوعی
آغاز دور جدید حراج شماره‌های رند همراه اول
بازگشت بیش از 17 هزار زائر اربعین به کشور با 145 پرواز
حمله پهپادی یمنی‌ها به بندر اشغالی ایلات
خبر کمبود برنج در بازار تکذیب می‌شود
رئیس جمهور: پزشکان برای ایجاد تغییر و پیشرفت منتظر دولت نمانند
ترامپ کمک‌های هوایی به غزه جدی نگرفته است
بیانیه بی‌سابقه 27 کشور غربی درباره بحران انسانی در غزه
میادین و بازارهای میوه و تره‌بار تهران روز اربعین تعطیل است
طارمی مشتریان جدیدی از قطر، امارات و فرانسه پیدا کرد
کاظمی خبر داد؛ جذب بیش از 2800 استعداد برتر در دانشگاه فرهنگیان
اژه‌ای: برای فردی که لغزش کرده فضای توبه فراهم کنیم/نسبت به مقامات باید صیانت بیشتری داشت
عارف: آب طالقان بزودی به تهران می‌رسد/برای تولید 30 هزار مگاوات برق برنامه‌ریزی کرده‌ایم
آغاز پیش فروش بلیت قطار شهریورماه از فردا + جزئیات
نام اسرائیل در آستانه ورود به فهرست هشدار خشونت جنسی سازمان ملل
مشاورانتان را عوض کنید
حمله تروریستی خونین در بلوچستان پاکستان
بحران در درون تل‌آویو؛ نزاع بر سر انتصابات ارتش
حقارت زنجیره‌ای اروپا در مواجهه با آمریکا و چین
کاهش نگران کننده ذخایر سدهای تهران
عربستان ارسال سلاح به اسرائیل را تکذیب کرد
2 خط از متروی تهران روز اربعین رایگان شد
«مسیر ترامپ»، نام دیگر کریدور زنگه‌زور
هیأتی از نیروهای دموکراتیک سوریه برای مذاکره با دولت موقت به دمشق رفت
نامه اتابک درباره جلوگیری از افزایش چند برابری قیمت خودروهای وارداتی
نوراینفو | کدبندی انواع تصادفات به چه صورت است؟
قیمت دلار و سایر ارزها امروز سه‌‎شنبه 21 مرداد 1404
فردا آخرین روز فروش ارز اربعین است
شوخی یک خبرنگار با پزشکیان: با رئیس‌جمهور قبلی عکس یادگاری گرفتیم، شهید شد! + فیلم
فهرست 269 خبرنگاری که اسرائیل از 7 اکتبر 2023 به شهادت رسانده منتشر شد
قیمت طلا و سکه امروز سه‌شنبه 21 مرداد 1404 +جدول
پاکستان در بزنگاه تاریخی؛ فرصت‌سازی یا تکرار خیانت آمریکا؟
پاکستان به ولایت نورستان افغانستان حمله پهپادی کرد
خرید اعتباری 10 میلیون تومانی برای بازنشستگان کشوری +شرایط و فروشگاه‌های تحت پوشش
ملکوتِ محمود فرشچیان
قیمت خودرو امروز سه‌شنبه 21 مرداد 1404 +جدول
ساعت آزمون نهایی پایه دوزادهم تغییر کرد
لاریجانی: موافق بسط همکاری میان ایران و کشورهای منطقه هستیم
نتایج طرح خودروهای فرسوده ایران‌خودرو اعلام شد + جزئیات پرداخت و شرایط فروش
متن توافقنامه ارمنستان و جمهوری آذربایجان منتشر شد
عالی‌پور: سهام عدالت آزاد می‌شود
تصادف مرگبار با 4 کشته در بزرگراه شهید شوشتری مشهد؛ دادستان گناباد جان باخت
ایران نما | معرفی جاذبه های گردشگری شهرهای ایران(69) «بفروئیه»
اوقانی: مرحله دوم متناسب‌سازی سال 1400 بازنشستگان با حقوق مرداد پرداخت می‌شود
اعتراف یک جادوگر: با 5 مربی فوتبال در ارتباط بودم!
زیارت اربعین؛ پیمان مجدد با عدالت و آگاهی
غریب‌آبادی: معاون گروسی در تهران درباره نحوه تعامل آژانس و ایران گفت‌وگو کرد
سپاه: شهادت خبرنگاران در غزه، شلیک به آزادی بیان است
جنگ دوم، میدان نبرد ذهن‌ها؛ زمان اجرای ابتکارات تازه برای مقابله
وزیر کار: یارانه 3 دهک تا شهریور حذف می‌شود
X
آگهی تبلیغاتی