Secondo un rapporto pubblicato da Il registrosecondo quanto riferito, il crawler ChatGPT di OpenAI è vulnerabile alla manipolazione, consentendogli di avviare potenzialmente attacchi DDoS (Distributed Denial of Service) su siti Web arbitrari. Questo problema rimane non riconosciuto dalla società tecnologica.
L’API ChatGPT di OpenAI mostra vulnerabilità agli attacchi DDoS
Un articolo del ricercatore di sicurezza Benjamin Flesch, condiviso questo mese tramite GitHub di Microsoft, spiega in dettaglio come una singola richiesta HTTP all’API ChatGPT può provocare un’ondata di richieste di rete dal crawler ChatGPT, in particolare il Utente ChatGPT agente. Questa vulnerabilità potrebbe amplificare una richiesta API fino a raggiungere circa 5.000 richieste dirette a un sito Web mirato ogni secondo.
Flesch descrive il difetto come un “grave difetto di qualità” nella gestione delle richieste HTTP POST a uno specifico endpoint API chiamato dal ChatGPT di OpenAI. Questo endpoint viene utilizzato per restituire informazioni sulle fonti Web citate nell’output del chatbot. Quando il chatbot fa riferimento a URL specifici, l’API di attribuzione recupera informazioni da questi siti. Un aggressore può creare un lungo elenco di URL, ciascuno leggermente diverso ma che punta allo stesso sito, dando luogo a richieste simultanee a quel sito.
Secondo Flesch, l’API non verifica se i collegamenti ipertestuali vengono ripetuti all’interno dell’elenco né impone un limite al numero totale di collegamenti ipertestuali inviati. Ciò consente a un utente malintenzionato di inviare migliaia di collegamenti ipertestuali in un’unica richiesta HTTP, inondando di fatto il sito Web di destinazione.
Utilizzando uno strumento come Curl, gli aggressori possono inviare una richiesta HTTP POST all’endpoint ChatGPT senza bisogno di un token di autenticazione. I server di OpenAI su Microsoft Azure risponderanno avviando richieste per ciascun collegamento ipertestuale inviato tramite il parametro di richiesta. Questa azione può sovraccaricare il sito web preso di mira, poiché il crawler, utilizzando Cloudflare, accederà al sito da indirizzi IP diversi ad ogni richiesta.
Best practice per preparare la tua organizzazione agli incidenti di sicurezza informatica
Il sito vittima probabilmente riceverebbe richieste da circa 20 indirizzi IP diversi contemporaneamente, rendendo difficile per loro risalire all’origine dell’attacco. Anche se un sito Web consente a un firewall di bloccare gli IP associati al bot ChatGPT, il bot continuerà a inviare richieste.
“Grazie a questa amplificazione, l’aggressore può inviare un numero limitato di richieste all’API ChatGPT, ma la vittima ne riceverà un numero molto elevato”, ha spiegato Flesch.
Flesch ha segnalato la vulnerabilità DDoS riflettente non autenticata attraverso più canali, tra cui la piattaforma OpenAI BugCrowd e i team di sicurezza di Microsoft, ma non ha ricevuto risposta. Il registro ha anche contattato OpenAI per commenti ma non ha ricevuto risposta.
Inoltre, Flesch ha sottolineato un altro problema relativo a questa API, che è vulnerabile alla pronta iniezione. Questo difetto consente al crawler di elaborare domande arbitrarie utilizzando lo stesso endpoint API di attribuzione, anziché limitarsi a recuperare i dati del sito Web come previsto.
Flesch ha criticato OpenAI per non aver implementato misure di sicurezza di base, come la deduplicazione degli URL o la limitazione della dimensione degli elenchi di URL. Ha ipotizzato che l’API potrebbe essere un progetto sperimentale per gli agenti AI di OpenAI, privo della logica di convalida necessaria per prevenire questo tipo di abuso. Ha osservato che le norme stabilite nello sviluppo del software in genere prevengono tali difetti per garantire prestazioni robuste.
“Non riesco a immaginare un ingegnere ben pagato della Silicon Valley che progetta un software come questo, perché il crawler di ChatGPT esegue la scansione del web da molti anni, proprio come il crawler di Google”, ha affermato Flesch. “Se i crawler non limitano il numero di richieste allo stesso sito web, verranno bloccati immediatamente.”
Credito immagine in primo piano: Matteo Bertelli/Pexels
