Нелепая 0day-уязвимость позволяет хакерам вести атаки прямо через чат-бот.
Исследователь безопасности Бенджамин Флеш обнаружил уязвимость в API ChatGPT, которая позволяет злоумышленникам инициировать через чат-бот распределённые атаки отказа в обслуживании (DDoS) на произвольные сайты. Уязвимость связана с некорректной обработкой списка URL-адресов, передаваемых в запросах к API, и отсутствием механизмов ограничения количества запросов к одному ресурсу.
В отчёте на GitHub Флеш пояснил, что один HTTP-запрос к API ChatGPT может привести к множеству соединений с указанным сайтом, генерируя от 20 до 5000 запросов в секунду. Это создаёт нагрузку, способную вызвать перегрузку сервера жертвы.
Уязвимость кроется в параметре «urls[]», который принимает список гиперссылок. OpenAI не проверяет, повторяются ли ссылки на один и тот же ресурс, и не ограничивает их количество в запросе. Это позволяет отправить тысячи различных ссылок, ведущих на один сайт, из-за чего веб-краулер ChatGPT обращается к ним поочерёдно, создавая DDoS-эффект.
Атака возможна без аутентификации, а сами запросы отправляются через серверы OpenAI, работающие на базе Microsoft Azure. При этом запросы проходят через прокси Cloudflare, что делает их источники разными. Это затрудняет блокировку IP-адресов жертвой атаки.
Флеш отметил, что сообщил об уязвимости в компанию OpenAI через её платформу BugCrowd, а также в Microsoft и на HackerOne, но ответа он так и не получил.
Помимо описанного DDoS-риска, API оказался уязвим ещё и к атаке типа Prompt Injection. Эта уязвимость позволяет веб-краулеру не только собирать данные, но и отвечать на пользовательские запросы, хотя API предназначен исключительно для сбора информации с сайтов.
Флеш выразил удивление, что OpenAI не реализовала базовые меры защиты, такие как проверка дублирующихся ссылок, ограничение их количества или предотвращение отправки запросов на недоступные ресурсы. По его мнению, проблема может быть связана с использованием автономных ИИ-агентов, которые, вероятно, применяются для обработки параметров запросов.
Он добавил, что отсутствие подобных механизмов защиты для инструмента, способного вызывать серьёзные перегрузки, противоречит стандартам разработки поисковых роботов, которые уже давно внедрены в такие сервисы, как Google.