В январе 2024 года в API ChatGPT была выявлена критическая уязвимость, позволявшая злоумышленникам организовывать DDoS-атаки на сторонние сайты. Ошибка в обработке HTTP-запросов давала возможность генерировать сотни и тысячи запросов к указанным гиперссылкам, что приводило к перегрузке целевых серверов. Уязвимость была признана крайне опасной (CVSS 8.6), поскольку не требовала аутентификации, специальных привилегий или пользовательского взаимодействия. Пишет ФедералПресс.
Специалисты установили, что проблема возникла из-за недоработки в программном коде OpenAI. Система не контролировала количество передаваемых ссылок через параметр urls в API, а также не отслеживала дублирующиеся адреса. В результате, отправка большого массива данных могла спровоцировать лавинообразное подключение серверов OpenAI, работающих на платформе Microsoft Azure, к заданному сайту, создавая на нем чрезмерную нагрузку и приводя к сбоям в его работе.
Несмотря на то, что информация об уязвимости была публично раскрыта, OpenAI и Microsoft не предприняли оперативных действий. Попытки исследователей сообщить об этом через официальные каналы связи, включая специализированные платформы для отчетов об уязвимостях, электронную почту и GitHub, остались без ответа. В некоторых случаях поступали автоматические сообщения, которые не содержали конкретных мер по устранению проблемы.
Ситуацию прокомментировал член Общественного совета при Минцифры России, первый заместитель председателя комиссии по просвещению и воспитанию Общественной палаты РФ Армен Гаспарян. Он выразил обеспокоенность игнорированием безопасности со стороны западных ИТ-компаний и назвал отказ OpenAI реагировать на сообщения исследователей «очередным примером пренебрежения к пользователям». По его словам, такие случаи демонстрируют неспособность компаний управлять собственными технологиями, что делает использование их продуктов потенциально небезопасным. Гаспарян также отметил, что российские разработчики уделяют значительно больше внимания вопросам защиты пользователей, предлагая более надежные альтернативы.
Олег Капранов, эксперт РОЦИТ и руководитель проекта «Технологии» Российской газеты, подчеркнул, что в условиях активного использования искусственного интеллекта особенно важно учитывать кибербезопасность. Он напомнил, что многие пользователи работают с конфиденциальной информацией, включая персональные и коммерческие данные, не задумываясь о том, как они могут быть использованы в случае утечки или злоупотребления уязвимостями в сервисах.
