Критична вразливість в API ChatGPT дозволяє проводити потужні DDoS-атаки

Photo of author

CyberSecureFox Editorial Team

Експерт з кібербезпеки Бенджамін Флеш виявив критичну вразливість в API ChatGPT, яка дозволяє зловмисникам організовувати масштабні DDoS-атаки на веб-ресурси за допомогою єдиного HTTP-запиту. Ця знахідка викликає серйозне занепокоєння щодо безпеки популярної платформи штучного інтелекту та її потенційного використання для кібератак.

Технічний аналіз вразливості

Вразливість знаходиться в endpoint-і https://chatgpt.com/backend-api/attributions, призначеному для отримання даних про веб-джерела, які згадуються у відповідях ChatGPT. Основна проблема полягає у відсутності належної валідації URL-адрес та обмежень при обробці вхідних параметрів, що створює можливість для зловмисного використання API.

Механізм проведення атаки

Зловмисник може надіслати єдиний POST-запит, що містить множину модифікованих URL-адрес, які вказують на одну ціль. Система обробляє кожну адресу як унікальну, що призводить до генерації численних запитів через краулер ChatGPT-User. Один API-запит може генерувати від 20 до 5000 запитів на секунду до цільового сайту.

Особливості та складність виявлення атаки

Атака стає особливо небезпечною через використання різних IP-адрес через проксі-сервери Cloudflare, що суттєво ускладнює виявлення та блокування зловмисної активності традиційними засобами захисту. Це робить дану вразливість особливо привабливою для потенційних зловмисників.

Виявлені недоліки безпеки

Дослідження виявило критичні прогалини в системі безпеки API ChatGPT:

  • Відсутність механізмів дедуплікації URL-адрес
  • Необмежена кількість URL у запиті
  • Вразливість до ін’єкцій промптів
  • Недостатній контроль частоти запитів

Незважаючи на численні спроби дослідника повідомити про проблему через різні канали, включаючи BugCrowd, команду безпеки OpenAI, Microsoft та HackerOne, вразливість залишається невиправленою. Ця ситуація підкреслює необхідність впровадження більш суворих стандартів безпеки при розробці систем штучного інтелекту та їх API-інтерфейсів. Рекомендується адміністраторам веб-ресурсів посилити моніторинг трафіку та впровадити додаткові механізми захисту від DDoS-атак, особливо тих, що надходять через мережу Cloudflare.

Photo of author

CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

CyberSecureFox

© 2026 INFO

Про сайт

Про нас

Автори

Контакти

Редакція

Редакційні стандарти

Виправлення

Правова інформація

Політика конфіденційності

Умови використання