Поисковый бот ChatGPT может DDoS'ить сайты, нужен лишь один HTTP-запрос

Поисковый бот ChatGPT может DDoS'ить сайты, нужен лишь один HTTP-запрос

Поисковый бот ChatGPT может DDoS'ить сайты, нужен лишь один HTTP-запрос

Поведением поискового бота ChatGPT можно манипулировать с помощью выявленной уязвимости: при определённых запросах веб-краулер OpenAI будет фактически проводить DDoS-атаки на произвольные сайты.

Об интересной бреши сообщил исследователь в области кибербезопасности Бенджамин Флеш. По его словам, всего один HTTP-запрос к API ChatGPT может спровоцировать флуд определённого веб-ресурса нескончаемыми сетевыми запросами.

На деле может оказаться, что мощности таких DDoS-атак не хватит для вывода из строя хорошо защищённых сайтов, однако эксперт всё равно считает это недоработкой OpenAI.

Например, веб-краулер ChatGPT может каждую секунду добавлять к одному API-запросу от 20 до 5000 или даже больше таких же запросов к выбранному веб-сайту.

«API ChatGPT содержит серьёзный изъян при обработке запросов HTTP POST к https://chatgpt.com/backend-api/attributions. Если вы скормите API большой список URL, каждый из которых будет совсем незначительно отличаться, но при этом вести на один ресурс, веб-краулер будет стучаться параллельно по всем этим ссылкам», — объясняет Флеш.

К сожалению, поисковой бот не проверяет повторяющиеся ссылки на один и тот же сайт, а также не ограничивает максимальное число гиперссылок в параметре URL.

В случае эксплуатации этого недостатка владелец веб-сайта будет видеть лишь подключение веб-краулера ChatGPT с 20 разных IP-адресов. Даже при блокировке этих адресов файрволом бот ChatGPT всё равно продолжит отправлять запросы.

Россия выиграла Международную олимпиаду по кибербезопасности в Тунисе

Российская сборная взяла главный приз на Международной олимпиаде по кибербезопасности ICO, которая проходила в Тунисе с 27 июня по 2 июля. Команда завоевала четыре медали и стала абсолютным чемпионом соревнований. А один из участников сборной — Даниил Мелехов из московской Школы Центра педагогического мастерства — стал абсолютным победителем в индивидуальном зачете.

В финале российские школьники соревновались с 70 участниками из 19 стран, включая Китай, США, Бразилию, Италию, Сингапур, Швецию, Гонконг и Тунис.

Итог для сборной вышел мощным: золото получили Даниил Мелехов и Николай Белоусов, серебро — Артём Румянцев, бронзу — Роман Черемных.

 

Финал ICO состоял из двух туров по семь часов. Участникам пришлось решать комплексные задачи по веб-безопасности, анализу уязвимостей и другим направлениям практической кибербезопасности. Задания были приближены к реальным сценариям, так что это была полноценная проверка навыков.

Правила тоже были жёсткими: сторонние нейросети и мессенджеры использовать было нельзя. Участникам дали только ограниченный доступ к локальной модели ChatGPT-5.5-mini с лимитированными ресурсами.

 

Состав сборной определили по итогам многоэтапного отбора. Сначала заявки подали более 700 школьников, затем 56 лучших прошли в очный финал, где решали задачи без интернета, анализировали инциденты и участвовали в командном соревновании формата «защищай свое — атакуй чужое».

Готовили команду эксперты Центрального университета и «Лаборатории Касперского». Подготовка включала технические интервью, персональные планы занятий и промежуточную аттестацию.

Победа стала для российской сборной второй подряд на мировой арене ICO. И выглядит это довольно убедительно: пока взрослые спорят о кадровом голоде в ИБ, школьники уже показывают уровень, с которым можно выигрывать международные киберсоревнования.

RSS: Новости на портале Anti-Malware.ru