ChatGPT lässt sich anscheinend relativ unkompliziert nutzen, um DDoS-Angriffe auf Webseiten auszuführen, wie Sicherheitsforscher Benjamin Flesch entdeckt hat und auf Github
näher ausführt. Möglich ist dies über einen HTTP-POST-Request an eine ChatGPT-API (URL: https://chatgpt.com/backend-api/attributions). Dabei sei allgemein bekannt, dass Hyperlinks zu ein und derselben Website auf viele verschiedene Arten geschrieben werden könnten. "Aufgrund schlechter Programmierpraktiken prüft
OpenAI nicht, ob ein Hyperlink zur gleichen Ressource mehrfach in der Liste erscheint." OpenAI erzwingt zudem auch keine Begrenzung der maximalen Anzahl von Hyperlinks, die im urls-Parameter gespeichert werden, wodurch die Übertragung von vielen Tausenden von Hyperlinks innerhalb einer einzigen HTTP-Anfrage ermöglicht wird, so Flesch.
Unmittelbar nach dem Empfang einer entsprechenden HTTP-POST-Anfrage initiiert OpenAI eine HTTP-Anfrage für jeden einzelnen angegebenen Hyperlink von den Servern in der
Microsoft Azure-Cloud. Die Folge: Ohne Schutzmassnahmen wird die Opfer-Webseite durch die Anfrageflut in die Knie gezwungen. "OpenAI weist einen Mangel an Qualitätskontrollprozessen in seiner Softwareentwicklung auf und sollte diesen Fehler so schnell wie möglich beheben", schlussfolgert der Sicherheitsforscher.
Flesch hat laut eigenen Angaben sowohl OpenAI als auch Microsoft über verschiedenste Kanäle kontaktiert, bisher aber keinerlei Reaktion erhalten. Er kommentierte am 10. Januar, dass das Problem weiterhin unverändert bestehe.
(sta)
