×
اقتصادی
شناسه خبر : 209785
تاریخ انتشار : چهارشنبه 1403/11/03 ساعت 19:41
«چت‌جی‌پی‌تی» خطرناک است/ روبات هوشمند «اوپن‌ای‌آی» به وب‌سایت‌ها حمله می‌کند

«چت‌جی‌پی‌تی» خطرناک است/ روبات هوشمند «اوپن‌ای‌آی» به وب‌سایت‌ها حمله می‌کند

یک پژوهشگر حوزه امنیت سیستم گفت: نرم‌افزار روبات هوشمند «چت‌جی‌پی‌تی» باگ امنیتی دارد و به همین دلیل امکان حمله سایبری از طریق آن به وب‌سایت‌ها وجود دارد.

نورنیوز- گروه اقتصادی: «بنجامین فلش»(Benjamin Flesch)، پژوهشگر حوزه امنیت سیستم در یک مقاله جدید مدعی شده است که ربات‌های «چت‌جی‌پی‌تی»(ChatGPT) را از طریق ارسال درخواست HTTP به «واسط برنامه‌نویسی کاربردی» یا «ای‌پی‌آی»(API) آنها می‌توان برای «حمله محروم‌سازی از سرویس توزیع شده»(DDoS) به یک وب‌سایت تحریک کرد.

این نقص در نرم‌افزار شرکت «اوپن‌ای‌آی»(OpenAI) به ایجاد یک حمله DDoS به وب‌سایت قربانی‌ منجر می‌شود که از چندین محدوده آدرس «آی‌پی»(IP) سرویس محاسبات فضای ابری «مایکروسافت آژور»(Microsoft Azure) محل اجرای چت‌جی‌پی‌تی استفاده می‌کند.

به گفته فلش، ای‌پی‌آی چت‌جی‌پی‌تی هنگام رسیدگی به درخواست‌های HTTP، یک نقص کیفی شدید را نشان می‌دهد. ای‌پی‌آی، یک فهرست از لینک‌ها را در پارامتر urls انتظار دارد. معمولا مشخص است که هایپرلینک‌های یک وب‌سایت را می‌توان به روش‌های متفاوتی نوشت. به دلیل شیوه‌های بد برنامه‌نویسی، اوپن‌ای‌آی بررسی نمی‌کند که آیا لینک‌های ارجاع‌داده‌شده به یک منبع چندین بار در فهرست ظاهر می‌شوند یا خیر. همچنین، اوپن‌ای‌آی هیچ محدودیتی برای حداکثر تعداد لینک‌های ذخیره‌شده در پارامتر urls اعمال نمی‌کند. در نتیجه، امکان انتقال هزاران لینک در یک درخواست HTTP را فراهم می‌آورد.

بلافاصله پس از دریافت یک درخواست خوب HTTP ، اوپن‌ای‌آی درخواست HTTP را برای همه لینک‌های موجود در پارامتر urls از سرورهای شرکت که در فضای ابری مایکروسافت آژور است، آغاز می‌کند. در این مرحله، یک وب‌سایت قربانی با تلاش‌های زیادی برای اتصال موازی و درخواست‌های HTTP از سرورهای اوپن‌ای‌آی روبه‌رو می‌شود. اگرچه اوپن‌ای‌آی می‌داند که تعداد زیادی درخواست به صورت هم‌زمان به یک وب‌سایت ارسال می‌شوند، اما برای محدود کردن تعداد اتصالات به همان وب‌سایت یا حتی جلوگیری از صدور درخواست‌های تکراری به همان منبع هیچ تلاشی نمی‌کند.

بسته به تعداد لینک‌های فرستاده‌شده به اوپن‌ای‌آی از طریق پارامتر urls، تعداد زیادی از اتصالات سرورهای این شرکت ممکن است وب‌سایت قربانی را تحت تأثیر قرار دهند.

این نقص نرم‌افزاری، یک عامل تقویت قابل توجه را برای حملات بالقوه DDoS فراهم می‌کند. فلش معتقد است که اوپن‌ای‌آی فقدان فرآیندهای کنترل کیفیت را در مهندسی نرم‌افزار خود نشان داده و باید این نقص را در اسرع وقت برطرف کند.

این نقص نرم‌افزاری در ژانویه ۲۰۲۵ کشف شد و به اوپن‌ای‌آی به عنوان مالک نرم‌افزار معیوب و مایکروسافت به عنوان مالک سرورهای مسئول تعداد زیادی از درخواست‌های بالقوه مخرب اطلاع داده شد.

با وجود تلاش‌های زیاد برای برطرف کردن این نقص نرم‌افزاری، واکنش هیچ یک از طرفین در زمان مقرر ممکن نشد. تلاش‌های صورت‌گرفته به شرح زیر هستند.

۱. تماس با گروه امنیتی اوپن‌ای‌آی از طریق پلتفرم گزارش آسیب‌پذیری «باگ‌کرود»(BugCrowd) که از سوی شرکت بدون پاسخ ماند.

۲. تماس با گروه امنیتی اوپن‌ای‌آی از طریق ایمیل به disclosure@openai.com که از سوی شرکت بدون پاسخ ماند.

۳. تماس با کارکنان اوپن‌ای‌آی از طریق ارسال گزارش‌ها و توصیه‌های امنیتی به بخش Repository گیت‌هاب آنها که از سوی شرکت بدون پاسخ ماند.

۴. تماس با مسئول حریم خصوصی داده‌ها در اوپن‌ای‌آی از طریق ایمیل به privacy@openai.com و dsar@openai.com که پاسخ آن توسط هوش مصنوعی با اشاره به وب‌سایت پرسش و پاسخ نوشته شد.

۵. تماس با کارکنان پشتیبانی اوپن‌ای‌آی از طریق ایمیل به support@openai.com که پاسخ آن توسط هوش مصنوعی با اشاره به وب‌سایت پرسش و پاسخ نوشته شد.

۶. تماس با گروه امنیتی مایکروسافت از طریق ایمیل به safe@microsoft.com و abuse@microsoft.com و بسیاری دیگر که از طرف مایکروسافت بدون پاسخ ماند.

۷. تماس با گروه امنیتی مایکروسافت از طریق فرم‌های پرشده در cert.microsoft.com که پاسخ آن توسط هوش مصنوعی داده شد و این پاسخ، «پرونده بسته‌ شده» بود.

۸. تماس با گروه عملیات شبکه مایکروسافت آژور از طریق ایمیل که از طرف مایکروسافت بدون پاسخ ماند.

۹. تماس با گروه امنیتی شرکت «کلودفلر»(CloudFlare) از طریق گزارش «هکروان»(HackerOne) زیرا کلودفلر، سرور را به وب‌سایت چت‌جی‌پی‌تی ارائه می‌دهد. کارمندان هکروان از فرستادن اطلاعات به کلودفلر خودداری کردند.

فلش نوشت: از روز جمعه ۱۰ ژانویه ۲۰۲۵ پس از فرستادن گزارش‌های گوناگون از طریق کانال‌های ارتباطی قانونی، این نقص نرم‌افزاری نه توسط اوپن‌ای‌آی و مایکروسافت برطرف شد و نه وجود آن مورد تایید آنها قرار گرفت.


نورنیوز
نظرات

آخرین اخبار
تجاوز مجدد تروریست‌های آمریکایی به شهرهای ساحلی ایران؛ پاسخ فراگیر و مستمر نیروهای مسلح
موافقت مشروط عربستان در پیوستن به توافق ابراهیم
تعطیلی سفارت آمریکا در امارات
آژیر هشدار در سفارت آمریکا در بغداد
اتهام زنی آمریکا به ایران درباره یمن / روسیه ادعای واشنگتن را رد کرد
حمله موشکی به اربیل عراق
ایران و تنگه هرمز محور نشست اتحادیه اروپا و شورای همکاری خلیج فارس
گزارش‌ها از تجاوز عربستان سعودی به یمن با چراغ سبز ترامپ
افزایش 9 درصدی بهای نفت در پی اعلام ازسرگیری محاصره ایران از سوی ترامپ
دیدار مدیر اف‌بی‌آی با وزیر کشور پاکستان
امارات مدعی حمله به دو نفتکش این کشور شد
حادثه دریایی در 40 مایلی شمال شرق سواحل عمان
ادعای ترامپ متجاوز: توانمندی‌های ایران را در تنگه هرمز از بین می‌بریم
نمایندگی ایران در سازمان ملل: ادعای انتقال تجهیزات نظامی به یمن کاملاً بی‌اساس است
ورود الزیدی به آمریکا و اعلام اهداف سفر وی
فشار سناتورهای دموکرات بر کاخ سفید برای شفاف‌سازی درباره فاجعه میناب
بررسی راهکارهای تسهیل خدمات کنسولی در دیدار مقامات ایران و افغانستان
وزیر خارجه عمان: سیاست انزوای ایران شکست خورده است
نقض مجدد تفاهمات؛ واشنگتن محاصره دریایی ایران را کلید زد
آتش‌سوزی گسترده در ارتفاعات بلوار رسول اعظم(ص) شیراز
استارمر خواستار از سرگیری آتش‌بس ایران و آمریکا شد
بازداشت یک فرد مسلح در نزدیکی ساختمان کنگره آمریکا
توافق ایران و تاجیکستان بر توسعه همکاری‌های حمل‌ونقل و ترانزیت
استقلال در حال بررسی میزبانی از بازی‌های آسیایی در بصره
حمله پهپادی و موشکی یمن به فرودگاه ابها در پاسخ به بمباران صنعا
نقشه راه جدید ایران و روسیه برای اتصال شبکه‌های برق
اخبار جنگ در جنوب کشور؛ تکذیب خبر انفجار در لار و سیریک
نشست علنی مجلس شورای اسلامی برگزار شد
گفتگوی تلفنی وزرای امورخارجه ایران و قبرس
مخالفت قاطع سازمان بین‌المللی دریانوردی با طرح ترامپ برای دریافت عوارض از تنگه هرمز
سنتکام از آماده‌سازی برای اعمال مجدد محاصره دریایی خبر داد
شنیده شدن صدای انفجار در جده
تقویت پیوند اقتصادی ایران و چین
کریم آدیمی در یک‌قدمی نیوکمپ
کنایه عراقچی به ترامپ: در دریافت عوارض از تنگه هرمز ما منصف تر خواهیم بود!
وزیر آموزش و پرورش: بازنگری در محتوای آموزشی و کتاب‌ها آغاز شد
سقوط ذخایر استراتژیک نفت آمریکا
اعتراض گسترده در یمن به حمله عربستان به فرودگاه صنعاء
قدردانی عارف از عملکرد نهادهای امدادی در مراسم وداع رهبری
محکومیت حمله به فرودگاه صنعا توسط وزارت امور خارجه ایران
ائتلاف سعودی حمله موشکی یمن را تأیید کرد
انصارالله: حمله به فرودگاه صنعا، نقض آشکار حاکمیت یمن است
علی‌اف: جمهوری آذربایجان در حال بررسی خروج کامل از شورای اروپا است
تشدید تنش‌های سایبری؛ فنلاند سفیر روسیه را احضار کرد
واکنش باشگاه استقلال به شایعات جدایی یاسر آسانی
مکرون: اروپا باید برای دفاع از خود آماده باشد
واکنش وزیر صمت به قطعی برق صنایع
چرا وزارت صمت نقشی در تعیین قیمت‌ خودرو ندارد؟
بسته 120 میلیون یورویی اروپا برای تقویت پدافند هوایی مولداوی
تعطیلی فرودگاه‌های یمن