×
اقتصادی
شناسه خبر : 209785
تاریخ انتشار : چهارشنبه 1403/11/03 ساعت 19:41

«چت‌جی‌پی‌تی» خطرناک است/ روبات هوشمند «اوپن‌ای‌آی» به وب‌سایت‌ها حمله می‌کند

یک پژوهشگر حوزه امنیت سیستم گفت: نرم‌افزار روبات هوشمند «چت‌جی‌پی‌تی» باگ امنیتی دارد و به همین دلیل امکان حمله سایبری از طریق آن به وب‌سایت‌ها وجود دارد.

نورنیوز- گروه اقتصادی: «بنجامین فلش»(Benjamin Flesch)، پژوهشگر حوزه امنیت سیستم در یک مقاله جدید مدعی شده است که ربات‌های «چت‌جی‌پی‌تی»(ChatGPT) را از طریق ارسال درخواست HTTP به «واسط برنامه‌نویسی کاربردی» یا «ای‌پی‌آی»(API) آنها می‌توان برای «حمله محروم‌سازی از سرویس توزیع شده»(DDoS) به یک وب‌سایت تحریک کرد.

این نقص در نرم‌افزار شرکت «اوپن‌ای‌آی»(OpenAI) به ایجاد یک حمله DDoS به وب‌سایت قربانی‌ منجر می‌شود که از چندین محدوده آدرس «آی‌پی»(IP) سرویس محاسبات فضای ابری «مایکروسافت آژور»(Microsoft Azure) محل اجرای چت‌جی‌پی‌تی استفاده می‌کند.

به گفته فلش، ای‌پی‌آی چت‌جی‌پی‌تی هنگام رسیدگی به درخواست‌های HTTP، یک نقص کیفی شدید را نشان می‌دهد. ای‌پی‌آی، یک فهرست از لینک‌ها را در پارامتر urls انتظار دارد. معمولا مشخص است که هایپرلینک‌های یک وب‌سایت را می‌توان به روش‌های متفاوتی نوشت. به دلیل شیوه‌های بد برنامه‌نویسی، اوپن‌ای‌آی بررسی نمی‌کند که آیا لینک‌های ارجاع‌داده‌شده به یک منبع چندین بار در فهرست ظاهر می‌شوند یا خیر. همچنین، اوپن‌ای‌آی هیچ محدودیتی برای حداکثر تعداد لینک‌های ذخیره‌شده در پارامتر urls اعمال نمی‌کند. در نتیجه، امکان انتقال هزاران لینک در یک درخواست HTTP را فراهم می‌آورد.

بلافاصله پس از دریافت یک درخواست خوب HTTP ، اوپن‌ای‌آی درخواست HTTP را برای همه لینک‌های موجود در پارامتر urls از سرورهای شرکت که در فضای ابری مایکروسافت آژور است، آغاز می‌کند. در این مرحله، یک وب‌سایت قربانی با تلاش‌های زیادی برای اتصال موازی و درخواست‌های HTTP از سرورهای اوپن‌ای‌آی روبه‌رو می‌شود. اگرچه اوپن‌ای‌آی می‌داند که تعداد زیادی درخواست به صورت هم‌زمان به یک وب‌سایت ارسال می‌شوند، اما برای محدود کردن تعداد اتصالات به همان وب‌سایت یا حتی جلوگیری از صدور درخواست‌های تکراری به همان منبع هیچ تلاشی نمی‌کند.

بسته به تعداد لینک‌های فرستاده‌شده به اوپن‌ای‌آی از طریق پارامتر urls، تعداد زیادی از اتصالات سرورهای این شرکت ممکن است وب‌سایت قربانی را تحت تأثیر قرار دهند.

این نقص نرم‌افزاری، یک عامل تقویت قابل توجه را برای حملات بالقوه DDoS فراهم می‌کند. فلش معتقد است که اوپن‌ای‌آی فقدان فرآیندهای کنترل کیفیت را در مهندسی نرم‌افزار خود نشان داده و باید این نقص را در اسرع وقت برطرف کند.

این نقص نرم‌افزاری در ژانویه ۲۰۲۵ کشف شد و به اوپن‌ای‌آی به عنوان مالک نرم‌افزار معیوب و مایکروسافت به عنوان مالک سرورهای مسئول تعداد زیادی از درخواست‌های بالقوه مخرب اطلاع داده شد.

با وجود تلاش‌های زیاد برای برطرف کردن این نقص نرم‌افزاری، واکنش هیچ یک از طرفین در زمان مقرر ممکن نشد. تلاش‌های صورت‌گرفته به شرح زیر هستند.

۱. تماس با گروه امنیتی اوپن‌ای‌آی از طریق پلتفرم گزارش آسیب‌پذیری «باگ‌کرود»(BugCrowd) که از سوی شرکت بدون پاسخ ماند.

۲. تماس با گروه امنیتی اوپن‌ای‌آی از طریق ایمیل به disclosure@openai.com که از سوی شرکت بدون پاسخ ماند.

۳. تماس با کارکنان اوپن‌ای‌آی از طریق ارسال گزارش‌ها و توصیه‌های امنیتی به بخش Repository گیت‌هاب آنها که از سوی شرکت بدون پاسخ ماند.

۴. تماس با مسئول حریم خصوصی داده‌ها در اوپن‌ای‌آی از طریق ایمیل به privacy@openai.com و dsar@openai.com که پاسخ آن توسط هوش مصنوعی با اشاره به وب‌سایت پرسش و پاسخ نوشته شد.

۵. تماس با کارکنان پشتیبانی اوپن‌ای‌آی از طریق ایمیل به support@openai.com که پاسخ آن توسط هوش مصنوعی با اشاره به وب‌سایت پرسش و پاسخ نوشته شد.

۶. تماس با گروه امنیتی مایکروسافت از طریق ایمیل به safe@microsoft.com و abuse@microsoft.com و بسیاری دیگر که از طرف مایکروسافت بدون پاسخ ماند.

۷. تماس با گروه امنیتی مایکروسافت از طریق فرم‌های پرشده در cert.microsoft.com که پاسخ آن توسط هوش مصنوعی داده شد و این پاسخ، «پرونده بسته‌ شده» بود.

۸. تماس با گروه عملیات شبکه مایکروسافت آژور از طریق ایمیل که از طرف مایکروسافت بدون پاسخ ماند.

۹. تماس با گروه امنیتی شرکت «کلودفلر»(CloudFlare) از طریق گزارش «هکروان»(HackerOne) زیرا کلودفلر، سرور را به وب‌سایت چت‌جی‌پی‌تی ارائه می‌دهد. کارمندان هکروان از فرستادن اطلاعات به کلودفلر خودداری کردند.

فلش نوشت: از روز جمعه ۱۰ ژانویه ۲۰۲۵ پس از فرستادن گزارش‌های گوناگون از طریق کانال‌های ارتباطی قانونی، این نقص نرم‌افزاری نه توسط اوپن‌ای‌آی و مایکروسافت برطرف شد و نه وجود آن مورد تایید آنها قرار گرفت.


نورنیوز
نظرات

آگهی تبلیغاتی
آخرین اخبار
نروژ قطع همکاری مالی با فلسطین اشغالی را اعلام کرد
ارزش کل بازار رمزارزها از 4 تریلیون دلار فراتر رفت
روایت معاریو از وحشت اسرائیل نسبت به تاکتیک‌های حمله فوری ایران
انتقاد شدید ماکرون از اقدامات اسرائیل/ اشغال غزه فاجعه است
نظری جویباری از مدیرعاملی استقلال استعفا کرد
هواداران لیورپول خواستار محرومیت تیم اسرائیلی از رقابت‌های فیفا شدند
دروازه بان سابق پرسپولیس به صنعت نفت پیوست
گرمای بی‌سابقه عراق را در خاموشی فرو برد
وزیر میراث: اداره هیات امنایی تخت جمشید بزودی به صورت رسمی ابلاغ می‌شود
اسلامی: حفظ منافع ملی و پیشرفت علمی اولویت اصلی ماست
بادامچیان: پیروزی ایران بر اسرائیل معادلات پشت‌پرده بین‌المللی را تغییر داد
واکنش «دیده‌بان حقوق بشر» و «عفو بین الملل» به کشتار بی سابقه خبرنگاران در غزه
شلیک به صدا، تصویر، روایت
تسلیم باشگاه استقلال در برابر انتقادات از رونمایی لباس جدید
عون: اجرای طرح انحصار سلاح قطعا اجرایی می شود/مقام حزب‌الله: خلع سلاح مقاومت محال است
مدیرکل آموزش و پرورش شهر تهران: ثبت نام دانش‌آموزان اتباع بدون مدرک هویتی ممکن نیست
غریب آبادی: معاون گروسی پس از مذاکرات، تهران را ترک کرد
ترامپ: نرخ جرم و جنایت در واشنگتن بالاست/گارد ملی ورود می کند
گزارش تصویری | دیدار تیم‌های فوتبال استقلال - تراکتور در سوپر جام فوتبال ایران
نبرد ستاره‌های تازه‌نفس در سوپرجام 1404/تراکتور قهرمان شد+ فیلم
دبیر ستاد ملی جمعیت: مشکل کاهش جمعیت با بخشنامه حل نمی‌شود
امانی: هوش مصنوعی نمی‌تواند جایگزین مسئولیت‌های انسانی خبرنگار شود
سازمان ملل هشدار داد: قتل خبرنگاران فلسطینی نقض جدی قوانین بین‌المللی است
شناسنامه‌دار کردن کالاها، راه نجات اقتصاد از قاچاق و احتکار
استرداد کلاهبردار 167 هزار دلاری به کشور
حمله مرگبار به چهره سیاسی کلمبیا؛/نامزد احتمالی انتخابات کشته شد
سومین مدرسه تابستانه چین؛ پل علمی و راهبردی برای تعمیق روابط ایران و چین
معجزه در کرج؛ نوزاد 23 روزه دوباره به زندگی بازگشت
وزیر جهادکشاورزی خبر داد؛ برنج احتکاری با نرخ مصوب توزیع می‌شود
کیفیت هوای تهران قرمز شد /ناسالم برای تمام گروه های سنی
سایت فاقد مجوز فروش بلیت هواپیما مسدود شد
مقصد غیرمنتظره بعدی جهانبخش کجاست؟
عارف: ستاد تنظیم بازار نقش کلیدی در مدیریت اقتصادی کشور دارد
نابودی اعتماد عمومی نسبت به ترامپ
هوشمندسازی پارک ملی گلستان با دستور ویژه رئیس جمهور
بانک‌های تخصصی به‌زودی راه‌اندازی می‌شوند
اظهارات عراقچی درباره واگذاری پرونده مذاکرات به دبیر شورای عالی امنیت ملی
حزب‌الله : ترور خبرنگاران در غزه جنایت جنگی کامل است
نیمی از زائران اربعین به کشوربازگشتند
ترفندهای جدید کلاهبرداران برای کلاهبرداری از زائران اربعین
سفری تعیین‌کننده با دستور کار تأمین امنیت منطقه‌ای
دفتر موسیقی وزارت فرهنگ: افزایش قیمت بلیت کنسرت‌ها پذیرفتنی نیست
تمدید مهلت ثبت نام داوطلبان آزمون پروانه مشاوره قوه قضاییه
بورس باز قرمز شد/ شاخص کل بورس اینبار چقدر کاهش یافت؟
سینماها روزهای آخر هفته تعطیل است
ادارات کدام استان ها چهارشنبه تعطیل است؟ + اسامی استان‌ها
دیدار علی لاریجانی با رئیس‌جمهور عراق/ امضای تفاهم امنیتی مشترک بین ایران و عراق
پوستر باشگاه استقلال و تراکتور برای دیدار سوپرجام امشب منتشر شد
صدها خلبان صهیونیست علیه گسترش جنگ در غزه تظاهرات می‌کنند
تئاترهای عمومی در ایام اربعین تعطیل شد
X
آگهی تبلیغاتی