×
اقتصادی
شناسه خبر : 209785
تاریخ انتشار : چهارشنبه 1403/11/03 ساعت 19:41
«چت‌جی‌پی‌تی» خطرناک است/ روبات هوشمند «اوپن‌ای‌آی» به وب‌سایت‌ها حمله می‌کند

«چت‌جی‌پی‌تی» خطرناک است/ روبات هوشمند «اوپن‌ای‌آی» به وب‌سایت‌ها حمله می‌کند

یک پژوهشگر حوزه امنیت سیستم گفت: نرم‌افزار روبات هوشمند «چت‌جی‌پی‌تی» باگ امنیتی دارد و به همین دلیل امکان حمله سایبری از طریق آن به وب‌سایت‌ها وجود دارد.

نورنیوز- گروه اقتصادی: «بنجامین فلش»(Benjamin Flesch)، پژوهشگر حوزه امنیت سیستم در یک مقاله جدید مدعی شده است که ربات‌های «چت‌جی‌پی‌تی»(ChatGPT) را از طریق ارسال درخواست HTTP به «واسط برنامه‌نویسی کاربردی» یا «ای‌پی‌آی»(API) آنها می‌توان برای «حمله محروم‌سازی از سرویس توزیع شده»(DDoS) به یک وب‌سایت تحریک کرد.

این نقص در نرم‌افزار شرکت «اوپن‌ای‌آی»(OpenAI) به ایجاد یک حمله DDoS به وب‌سایت قربانی‌ منجر می‌شود که از چندین محدوده آدرس «آی‌پی»(IP) سرویس محاسبات فضای ابری «مایکروسافت آژور»(Microsoft Azure) محل اجرای چت‌جی‌پی‌تی استفاده می‌کند.

به گفته فلش، ای‌پی‌آی چت‌جی‌پی‌تی هنگام رسیدگی به درخواست‌های HTTP، یک نقص کیفی شدید را نشان می‌دهد. ای‌پی‌آی، یک فهرست از لینک‌ها را در پارامتر urls انتظار دارد. معمولا مشخص است که هایپرلینک‌های یک وب‌سایت را می‌توان به روش‌های متفاوتی نوشت. به دلیل شیوه‌های بد برنامه‌نویسی، اوپن‌ای‌آی بررسی نمی‌کند که آیا لینک‌های ارجاع‌داده‌شده به یک منبع چندین بار در فهرست ظاهر می‌شوند یا خیر. همچنین، اوپن‌ای‌آی هیچ محدودیتی برای حداکثر تعداد لینک‌های ذخیره‌شده در پارامتر urls اعمال نمی‌کند. در نتیجه، امکان انتقال هزاران لینک در یک درخواست HTTP را فراهم می‌آورد.

بلافاصله پس از دریافت یک درخواست خوب HTTP ، اوپن‌ای‌آی درخواست HTTP را برای همه لینک‌های موجود در پارامتر urls از سرورهای شرکت که در فضای ابری مایکروسافت آژور است، آغاز می‌کند. در این مرحله، یک وب‌سایت قربانی با تلاش‌های زیادی برای اتصال موازی و درخواست‌های HTTP از سرورهای اوپن‌ای‌آی روبه‌رو می‌شود. اگرچه اوپن‌ای‌آی می‌داند که تعداد زیادی درخواست به صورت هم‌زمان به یک وب‌سایت ارسال می‌شوند، اما برای محدود کردن تعداد اتصالات به همان وب‌سایت یا حتی جلوگیری از صدور درخواست‌های تکراری به همان منبع هیچ تلاشی نمی‌کند.

بسته به تعداد لینک‌های فرستاده‌شده به اوپن‌ای‌آی از طریق پارامتر urls، تعداد زیادی از اتصالات سرورهای این شرکت ممکن است وب‌سایت قربانی را تحت تأثیر قرار دهند.

این نقص نرم‌افزاری، یک عامل تقویت قابل توجه را برای حملات بالقوه DDoS فراهم می‌کند. فلش معتقد است که اوپن‌ای‌آی فقدان فرآیندهای کنترل کیفیت را در مهندسی نرم‌افزار خود نشان داده و باید این نقص را در اسرع وقت برطرف کند.

این نقص نرم‌افزاری در ژانویه ۲۰۲۵ کشف شد و به اوپن‌ای‌آی به عنوان مالک نرم‌افزار معیوب و مایکروسافت به عنوان مالک سرورهای مسئول تعداد زیادی از درخواست‌های بالقوه مخرب اطلاع داده شد.

با وجود تلاش‌های زیاد برای برطرف کردن این نقص نرم‌افزاری، واکنش هیچ یک از طرفین در زمان مقرر ممکن نشد. تلاش‌های صورت‌گرفته به شرح زیر هستند.

۱. تماس با گروه امنیتی اوپن‌ای‌آی از طریق پلتفرم گزارش آسیب‌پذیری «باگ‌کرود»(BugCrowd) که از سوی شرکت بدون پاسخ ماند.

۲. تماس با گروه امنیتی اوپن‌ای‌آی از طریق ایمیل به disclosure@openai.com که از سوی شرکت بدون پاسخ ماند.

۳. تماس با کارکنان اوپن‌ای‌آی از طریق ارسال گزارش‌ها و توصیه‌های امنیتی به بخش Repository گیت‌هاب آنها که از سوی شرکت بدون پاسخ ماند.

۴. تماس با مسئول حریم خصوصی داده‌ها در اوپن‌ای‌آی از طریق ایمیل به privacy@openai.com و dsar@openai.com که پاسخ آن توسط هوش مصنوعی با اشاره به وب‌سایت پرسش و پاسخ نوشته شد.

۵. تماس با کارکنان پشتیبانی اوپن‌ای‌آی از طریق ایمیل به support@openai.com که پاسخ آن توسط هوش مصنوعی با اشاره به وب‌سایت پرسش و پاسخ نوشته شد.

۶. تماس با گروه امنیتی مایکروسافت از طریق ایمیل به safe@microsoft.com و abuse@microsoft.com و بسیاری دیگر که از طرف مایکروسافت بدون پاسخ ماند.

۷. تماس با گروه امنیتی مایکروسافت از طریق فرم‌های پرشده در cert.microsoft.com که پاسخ آن توسط هوش مصنوعی داده شد و این پاسخ، «پرونده بسته‌ شده» بود.

۸. تماس با گروه عملیات شبکه مایکروسافت آژور از طریق ایمیل که از طرف مایکروسافت بدون پاسخ ماند.

۹. تماس با گروه امنیتی شرکت «کلودفلر»(CloudFlare) از طریق گزارش «هکروان»(HackerOne) زیرا کلودفلر، سرور را به وب‌سایت چت‌جی‌پی‌تی ارائه می‌دهد. کارمندان هکروان از فرستادن اطلاعات به کلودفلر خودداری کردند.

فلش نوشت: از روز جمعه ۱۰ ژانویه ۲۰۲۵ پس از فرستادن گزارش‌های گوناگون از طریق کانال‌های ارتباطی قانونی، این نقص نرم‌افزاری نه توسط اوپن‌ای‌آی و مایکروسافت برطرف شد و نه وجود آن مورد تایید آنها قرار گرفت.


نورنیوز
نظرات

آخرین اخبار
افزایش 9 درصدی بهای نفت در پی اعلام ازسرگیری محاصره ایران از سوی ترامپ
دیدار مدیر اف‌بی‌آی با وزیر کشور پاکستان
امارات مدعی حمله به دو نفتکش این کشور شد
حادثه دریایی در 40 مایلی شمال شرق سواحل عمان
ادعای ترامپ متجاوز: توانمندی‌های ایران را در تنگه هرمز از بین می‌بریم
نمایندگی ایران در سازمان ملل: ادعای انتقال تجهیزات نظامی به یمن کاملاً بی‌اساس است
اخبار جنگ در جنوب کشور؛ شنیده‌شدن صدای انفجار در کیش، قشم، بوموسی و بندرعباس
ورود الزیدی به آمریکا و اعلام اهداف سفر وی
فشار سناتورهای دموکرات بر کاخ سفید برای شفاف‌سازی درباره فاجعه میناب
بررسی راهکارهای تسهیل خدمات کنسولی در دیدار مقامات ایران و افغانستان
وزیر خارجه عمان: سیاست انزوای ایران شکست خورده است
نقض مجدد تفاهمات؛ واشنگتن محاصره دریایی ایران را کلید زد
آتش‌سوزی گسترده در ارتفاعات بلوار رسول اعظم(ص) شیراز
استارمر خواستار از سرگیری آتش‌بس ایران و آمریکا شد
بازداشت یک فرد مسلح در نزدیکی ساختمان کنگره آمریکا
توافق ایران و تاجیکستان بر توسعه همکاری‌های حمل‌ونقل و ترانزیت
استقلال در حال بررسی میزبانی از بازی‌های آسیایی در بصره
حمله پهپادی و موشکی یمن به فرودگاه ابها در پاسخ به بمباران صنعا
نقشه راه جدید ایران و روسیه برای اتصال شبکه‌های برق
اخبار جنگ در جنوب کشور؛ تکذیب خبر انفجار در لار و سیریک
نشست علنی مجلس شورای اسلامی برگزار شد
گفتگوی تلفنی وزرای امورخارجه ایران و قبرس
مخالفت قاطع سازمان بین‌المللی دریانوردی با طرح ترامپ برای دریافت عوارض از تنگه هرمز
سنتکام از آماده‌سازی برای اعمال مجدد محاصره دریایی خبر داد
شنیده شدن صدای انفجار در جده
تقویت پیوند اقتصادی ایران و چین
کریم آدیمی در یک‌قدمی نیوکمپ
کنایه عراقچی به ترامپ: در دریافت عوارض از تنگه هرمز ما منصف تر خواهیم بود!
وزیر آموزش و پرورش: بازنگری در محتوای آموزشی و کتاب‌ها آغاز شد
سقوط ذخایر استراتژیک نفت آمریکا
اعتراض گسترده در یمن به حمله عربستان به فرودگاه صنعاء
قدردانی عارف از عملکرد نهادهای امدادی در مراسم وداع رهبری
محکومیت حمله به فرودگاه صنعا توسط وزارت امور خارجه ایران
ائتلاف سعودی حمله موشکی یمن را تأیید کرد
انصارالله: حمله به فرودگاه صنعا، نقض آشکار حاکمیت یمن است
علی‌اف: جمهوری آذربایجان در حال بررسی خروج کامل از شورای اروپا است
تشدید تنش‌های سایبری؛ فنلاند سفیر روسیه را احضار کرد
واکنش باشگاه استقلال به شایعات جدایی یاسر آسانی
مکرون: اروپا باید برای دفاع از خود آماده باشد
واکنش وزیر صمت به قطعی برق صنایع
چرا وزارت صمت نقشی در تعیین قیمت‌ خودرو ندارد؟
بسته 120 میلیون یورویی اروپا برای تقویت پدافند هوایی مولداوی
تعطیلی فرودگاه‌های یمن
روسیه از تبادل جدید اسرا با اوکراین خبر داد
مجلس خبرگان: پیام راهبردی رهبر انقلاب یادآور پیوند ناگسستنی مسیر ملت با مکتب عاشورا بود
پزشکیان: ایران و روسیه یکجانبه‌گرایی و تلاش برای تحمیل اراده بر دیگر ملت‌ها را نمی‌پذیرند
ارتش متجاوز آمریکا: اجرای محاصره دریایی علیه ایران را از اواخر امروز آغاز می‌کنیم
تمهیدات ویژه مترو و اتوبوسرانی برای مراسم بزرگداشت «رهبر شهید»
هشدار هواشناسی تهران؛ خودداری از تردد غیر ضروری در فضای باز
ادعاهای ضدایرانی اروپا درباره تنگه هرمز