Según un informe publicado por El Registrose informa que el rastreador ChatGPT de OpenAI es vulnerable a la manipulación, lo que le permite iniciar potencialmente ataques distribuidos de denegación de servicio (DDoS) en sitios web arbitrarios. La empresa de tecnología sigue sin reconocer este problema.
La API ChatGPT de OpenAI muestra vulnerabilidad a ataques DDoS
Un artículo del investigador de seguridad Benjamin Flesch, compartido este mes a través de GitHub de Microsoft, detalla cómo una sola solicitud HTTP a la API ChatGPT puede provocar una avalancha de solicitudes de red desde el rastreador ChatGPT, específicamente el Usuario de ChatGPT agente. Esta vulnerabilidad podría amplificar una solicitud de API a hasta 5000 solicitudes dirigidas a un sitio web específico cada segundo.
Flesch describe la falla como un «defecto de calidad grave» en el manejo de solicitudes HTTP POST a un punto final API específico llamado por ChatGPT de OpenAI. Este punto final se utiliza para devolver información sobre fuentes web citadas en la salida del chatbot. Cuando el chatbot hace referencia a URL específicas, la API de atribuciones obtiene información de estos sitios. Un agresor puede crear una larga lista de URL, cada una ligeramente diferente pero apuntando al mismo sitio, lo que resulta en solicitudes simultáneas a ese sitio.
Según Flesch, la API no verifica si los hipervínculos se repiten dentro de la lista ni impone un límite en el número total de hipervínculos enviados. Esto permite a un atacante enviar miles de hipervínculos en una única solicitud HTTP, inundando efectivamente el sitio web de destino.
Utilizando una herramienta como Curl, los atacantes pueden enviar una solicitud HTTP POST al punto final ChatGPT sin necesidad de un token de autenticación. Los servidores de OpenAI en Microsoft Azure responderán iniciando solicitudes para cada hipervínculo enviado a través del parámetro de solicitud. Esta acción puede saturar el sitio web de destino, ya que el rastreador, que utiliza Cloudflare, accederá al sitio desde diferentes direcciones IP con cada solicitud.
Mejores prácticas para preparar su organización para incidentes de ciberseguridad
El sitio víctima probablemente recibiría solicitudes de aproximadamente 20 direcciones IP diferentes simultáneamente, lo que les dificultaría rastrear el origen del ataque. Incluso si un sitio web habilita un firewall para bloquear las IP asociadas con el bot ChatGPT, el bot continuará enviando solicitudes.
«Debido a esta amplificación, el atacante puede enviar una pequeña cantidad de solicitudes a la API ChatGPT, pero la víctima recibirá una gran cantidad de solicitudes», explicó Flesch.
Flesch informó sobre la vulnerabilidad DDoS reflectante no autenticada a través de múltiples canales, incluida la plataforma OpenAI BugCrowd y los equipos de seguridad de Microsoft, pero no recibió respuesta. El Registro También se comunicó con OpenAI para solicitar comentarios, pero no recibió respuesta.
Además, Flesch señaló otro problema relacionado con esta API, que es vulnerable a una inyección rápida. Esta falla permite que el rastreador procese preguntas arbitrarias utilizando el mismo punto final de API de atribuciones, en lugar de solo obtener datos del sitio web como se esperaba.
Flesch criticó a OpenAI por no implementar medidas de seguridad básicas, como deduplicar URL o limitar el tamaño de las listas de URL. Especuló que la API podría ser un proyecto experimental para los agentes de inteligencia artificial de OpenAI, que carece de la lógica de validación necesaria para evitar este tipo de abuso. Señaló que las normas establecidas en el desarrollo de software generalmente previenen tales fallas para garantizar un rendimiento sólido.
«No puedo imaginar a un ingeniero bien pagado de Silicon Valley diseñando un software como este, porque el rastreador ChatGPT ha estado rastreando la web durante muchos años, al igual que el rastreador de Google», afirmó Flesch. «Si los rastreadores no limitan su cantidad de solicitudes al mismo sitio web, serán bloqueados inmediatamente».
Crédito de la imagen destacada: Matheus Bertelli/Pexels
