Bir siber güvenlik araştırmacısı tarafından paylaşılan ayrıntılara göre, OpenAI’nin ChatGPT uygulama programlama arayüzü (API), web sitelerinde dağıtılmış hizmet reddi (DDoS) saldırısı başlatmak için kullanılabilecek bir güvenlik açığına sahip. Chatbot’un, ChatGPT tarayıcısını kullanarak bir web sitesine binlerce ağ isteği göndermek için kullanılabileceği bildiriliyor. Araştırmacı, yüksek önem derecesi verilen güvenlik açığının hala aktif olduğunu ve sorunun ne zaman çözüleceğine dair şirketten herhangi bir yanıt gelmediğini iddia ediyor.
ChatGPT API, Aynı Web Sitesine Çoklu Paralel Ağ İsteğine İzin Veriyor
GitHub’ta postalamak Almanya merkezli güvenlik araştırmacısı Benjamin Flesch, bu ayın başlarında paylaştığı bir raporda ChatGPT API’sinde var olan güvenlik açığını ayrıntılarıyla anlattı. Araştırmacı ayrıca bir test web sitesine 50 paralel HTTP isteği gönderen bir konsept kanıtı için kod yayınladı ve hatanın bir DDoS saldırısını tetiklemek için nasıl kullanılabileceğini ortaya çıkardı.
Flesch’e göre güvenlik açığı, https://chatgpt.com/backend-api/attributions adresine gönderilen HTTP POST isteklerini işlerken ortaya çıkıyor. Genellikle API uç noktası tarafından yeni kaynaklar oluşturmak için kullanılan, bir sunucuya veri gönderme yöntemidir. Bu işlevi yürütürken ChatGPT API’si, URL parametresinde bir köprü listesi gerektirir.
Araştırmacıya göre, API’sinde bir kusur gibi görünen OpenAI, aynı kaynağa giden bir köprünün listede birden çok kez görünüp görünmediğini kontrol etmiyor. Bir web sitesine giden köprüler farklı şekillerde yazılabildiğinden, bu durum tarayıcının aynı web sitesine birden fazla paralel ağ isteği göndermesine neden olur. Ek olarak Flesch, OpenAI’nin URL parametresine eklenebilecek ve tek bir istekte gönderilebilecek maksimum köprü sayısı konusunda bir sınır uygulamadığını iddia ediyor.
Sonuç olarak, kötü niyetli bir aktör bir web sitesine potansiyel olarak binlerce isabet gönderebilir ve bu da sunucunun hızla aşırı yüklenmesine neden olabilir. Güvenlik araştırmacısı bu güvenlik açığına ağ tabanlı olması, yürütmede düşük karmaşıklığa sahip olması ve herhangi bir ayrıcalık veya kullanıcı etkileşimi gerektirmemesi, ancak kullanılabilirlik üzerinde yüksek bir etkiye neden olabilmesi nedeniyle bu güvenlik açığına yüksek önem derecesine sahip “8,6 CVSS” derecesi verdi.
Flesch, Ocak ayında hatayı keşfettikten sonra hem OpenAI hem de Microsoft’a (sunucuları ChatGPT API’yi barındırdığı için) güvenlik açığı hakkında farklı kanallar aracılığıyla birçok kez ulaştığını iddia etti. Bunu OpenAI güvenlik ekibine, OpenAI çalışanlarına raporlar aracılığıyla, OpenAI veri gizliliği görevlisinin yanı sıra Microsoft’un güvenlik ve Azure ağ operasyonları ekibine bildirdiğini iddia etti.
Güvenlik açığını işaretlemek için çeşitli girişimlerde bulunmasına rağmen araştırmacı, sorunun ne çözüldüğünü ne de yapay zeka firmasının bu sorunun varlığını kabul ettiğini iddia etti. Gadgets 360 personeli sohbet robotunda hatanın varlığını doğrulayamadı.
