Поисковый бот ChatGPT может DDoS'ить сайты, нужен лишь один HTTP-запрос

Поисковый бот ChatGPT может DDoS'ить сайты, нужен лишь один HTTP-запрос

Поисковый бот ChatGPT может DDoS'ить сайты, нужен лишь один HTTP-запрос

Поведением поискового бота ChatGPT можно манипулировать с помощью выявленной уязвимости: при определённых запросах веб-краулер OpenAI будет фактически проводить DDoS-атаки на произвольные сайты.

Об интересной бреши сообщил исследователь в области кибербезопасности Бенджамин Флеш. По его словам, всего один HTTP-запрос к API ChatGPT может спровоцировать флуд определённого веб-ресурса нескончаемыми сетевыми запросами.

На деле может оказаться, что мощности таких DDoS-атак не хватит для вывода из строя хорошо защищённых сайтов, однако эксперт всё равно считает это недоработкой OpenAI.

Например, веб-краулер ChatGPT может каждую секунду добавлять к одному API-запросу от 20 до 5000 или даже больше таких же запросов к выбранному веб-сайту.

«API ChatGPT содержит серьёзный изъян при обработке запросов HTTP POST к https://chatgpt.com/backend-api/attributions. Если вы скормите API большой список URL, каждый из которых будет совсем незначительно отличаться, но при этом вести на один ресурс, веб-краулер будет стучаться параллельно по всем этим ссылкам», — объясняет Флеш.

К сожалению, поисковой бот не проверяет повторяющиеся ссылки на один и тот же сайт, а также не ограничивает максимальное число гиперссылок в параметре URL.

В случае эксплуатации этого недостатка владелец веб-сайта будет видеть лишь подключение веб-краулера ChatGPT с 20 разных IP-адресов. Даже при блокировке этих адресов файрволом бот ChatGPT всё равно продолжит отправлять запросы.

В России запретили вход через Google и Apple ID: сайтам пора менять кнопки

С 7 июля 2026 года в России вступил в силу закон, который запрещает российским сайтам и приложениям использовать для аутентификации новых пользователей иностранные сервисы (например Google, Apple ID и другие зарубежные инструменты). Теперь компаниям придётся опираться на отечественные варианты, а за игнорирование требований предусмотрены штрафы.

Важно: обычных пользователей за вход через зарубежные сервисы штрафовать не будут.

Ответственность установлена для владельцев сайтов и приложений — юрлиц и физлиц. Уже созданные аккаунты, зарегистрированные через иностранную почту или сервисы, продолжат работать. Панически бежать и пересоздавать профиль, заведённый через Google, не нужно.

По новым правилам аутентификация пользователей на территории России должна проходить через российский номер телефона, портал «Госуслуг», единую биометрическую систему или информационную систему, владельцем которой является гражданин РФ либо российское юридическое лицо.

За нарушение требований предусмотрены штрафы: для граждан — от 10 до 20 тысяч рублей, для должностных лиц — от 30 до 50 тысяч рублей, для юрлиц — от 500 до 700 тысяч рублей. При повторном нарушении компаниям может прилететь уже до 1,4 млн рублей.

Юристы уточняют, что норма применяется не ко всем подряд сайтам в интернете. Закон работает при одновременном соблюдении трёх условий: ресурс принадлежит гражданину РФ или российской компании, бизнес ведётся на территории России, а доступ к контенту открывается только после аутентификации.

RSS: Новости на портале Anti-Malware.ru