ChatGPT Crawler漏洞:通过HTTP请求进行DDOS攻击
ChatGPT 的网络爬虫行为可通过一个已发现的漏洞加以利用:在特定的查询条件下,OpenAI 的机器人可能会无意中对任意网站执行 DDoS 攻击。网络安全研究员本杰明-弗莱施(Benjamin Flesch)报告了这一引人关注的漏洞。据他称,对 ChatGPT API 的单个 HTTP 请求可能会触发大量针对特定网络资源的无情网络请求。
虽然这种 DDoS 攻击的规模可能不足以让保护良好的网站瘫痪,但这位研究员仍然认为这是 OpenAI 的一个重大疏忽。例如,ChatGPT 爬虫每秒可能向同一网站发出 20 到 5,000 次(甚至更多次)API 查询。
“ChatGPT API 在处理 https://chatgpt.com/backend-api/attributions 的 HTTP POST 请求时表现出严重的质量缺陷。该 API 在参数 urls 中期待一个超链接列表。众所周知,指向同一网站的超链接可以有多种不同的写法。由于糟糕的编程实践,OpenAI 不会检查指向同一资源的超链接是否在列表中出现多次。”Flesch解释说:“OpenAI也不对存储在urls参数中的超链接最大数量进行限制,因此可以在单个HTTP请求中传输数千个超链接。”
不幸的是,网络爬虫不会检查指向同一域的重复链接,也不会限制 URL 参数中超链接的最大数量。一旦这个漏洞被利用,受影响的网站所有者就会观察到来自 ChatGPT 爬虫的流量。即使通过防火墙阻止了这些地址,爬虫仍会继续无情地发送请求。
截至 2025 年 1 月 10 日星期五,尽管通过官方法律渠道进行了多次报告,但 OpenAI 或微软仍未解决这一软件缺陷问题,两家公司也都未承认其存在。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
管明美
关注网络尖刀微信公众号随时掌握互联网精彩
- 1 习近平的航天情缘 7904308
- 2 董明珠“海归间谍论”错误且危险 7808926
- 3 中方特别辟谣谈判假消息意味着什么 7713397
- 4 全过程回顾神舟二十号发射 7617267
- 5 千万粉丝网红彩虹夫妇宣布停播 7523692
- 6 这些办公方式竟招来了间谍 7428768
- 7 调度中心大屏现不雅画面 官方回应 7332871
- 8 谢霆锋演唱会含泪唱与王菲定情曲 7233057
- 9 澳大利亚扑杀750只山火中幸存的考拉 7139482
- 10 杨坤回应四川芬达事件 7046463
