小心！ChatGPT API漏洞可能被用于DDoS攻击

根据一位研究人员的说法，OpenAI的ChatGPT API中的一个安全漏洞可以被用于发起网站上的DDoS攻击。

这一漏洞是由德国安全研究员Benjamin Flesch发现的，他详细介绍了该漏洞以及如何在GitHub上利用它。根据Flesch的说法，该漏洞存在于API对/backend-API/attributions端点的HTTP POST请求的处理中。端点允许通过“urls”参数提供超链接列表。

问题源于对单个请求中可以包含的超链接数量没有限制，因此攻击者可以通过API轻松地用URL淹没请求。此外，OpenAI的API不会验证超链接是否指向相同的资源，或者它们是否重复。

该漏洞可以被用来淹没恶意用户想要攻击的任何网站。通过在单个请求中包含数千个超链接，攻击者可以使OpenAI服务器向受害者的网站生成大量HTTP请求。同时连接可能会使目标站点的基础架构紧张甚至禁用，从而有效地实施DDoS攻击。

OpenAI的API中缺乏速率限制或重复请求过滤机制，也增加了问题的严重性。Flesch认为，在没有设置保护措施的情况下，OpenAI无意中提供了一个可用于恶意目的的放大器。

Flesch还注意到，该漏洞显示了糟糕的编程实践和对安全考虑的缺乏。他建议OpenAI通过对可以提交的URL数量实施严格限制来解决这个问题，确保过滤重复请求，并添加速率限制措施来防止滥用。

安全专家同意Flesch的评估。生成性人工智能安全公司Lasso security Inc.的创始人兼首席执行官Elad Schulman通过电子邮件告诉SiliconANGLE，“通过聊天机器人启动的ChatGPT爬虫对企业构成重大风险，包括通过DDoS和钱包拒绝等攻击对声誉的损害、数据利用和资源消耗。”

Schulman补充道：“针对生成性人工智能聊天机器人的黑客可以利用聊天机器人来耗尽受害者的财务资源，特别是在缺乏必要护栏的情况下。通过利用这些技术，黑客可以很容易地在一天内花费一个基于语言模型的大型聊天机器人的每月预算。”