本月，德國安全研究員Benjamin Flesch通過微軟的GitHub分享了一篇文章，解釋了如何通過向ChatGPT API發(fā)送單個HTTP請求，利用ChatGPT爬蟲（特別是 ChatGPT-User）向目標網(wǎng)站發(fā)起大量網(wǎng)絡(luò)請求。攻擊者可以將單個API請求放大為每秒20到5000次甚至更多的請求，持續(xù)不斷地發(fā)送到目標網(wǎng)站。從實際操作來看，這種連接的洪流雖然不足以使任何網(wǎng)站癱瘓，但仍被認為是一種潛在的危險，也暴露了OpenAI 的疏忽。

Flesch在他的報告中指出：“ChatGPT API在處理向 https://chatgpt.com/backend-api/attributions發(fā)送的HTTP POST請求時，表現(xiàn)出嚴重的質(zhì)量缺陷。”他提到的API端點，被ChatGPT用于返回聊天機器人輸出中引用的網(wǎng)絡(luò)來源信息。當ChatGPT提到特定網(wǎng)站時，它會調(diào)用“attributions”接口，并附帶這些網(wǎng)站的URL列表，供爬蟲訪問并獲取相關(guān)信息。如果向API發(fā)送一個包含大量URL的列表，每個URL略有不同但都指向同一個網(wǎng)站，爬蟲會立即訪問所有這些URL 。

Flesch寫道：“API期望在參數(shù)urls中接收一個超鏈接列表。眾所周知，指向同一網(wǎng)站的超鏈接可以以多種不同的方式編寫。由于編程實踐不當，OpenAI沒有檢查列表中是否多次出現(xiàn)指向同一資源的超鏈接。 OpenAI也沒有對urls參數(shù)中存儲的超鏈接數(shù)量設(shè)置上限，從而允許在單個HTTP請求中傳輸數(shù)千個超鏈接。”

因此，攻擊者可以使用Curl等工具向ChatGPT端點發(fā)送HTTP POST請求，無需身份驗證令牌。OpenAI在微軟Azure上的服務(wù)器將響應(yīng)此請求，并為通過urls[]參數(shù)提交的每個超鏈接發(fā)起HTTP請求。當這些請求指向同一個網(wǎng)站時，可能會使目標網(wǎng)站不堪重負，出現(xiàn)DDoS癥狀——由Cloudflare代理的爬蟲每次都會從不同的IP地址訪問目標網(wǎng)站。

“受害者永遠不會知道發(fā)生了什么，因為他們只看到同一時間，ChatGPT機器人從大約20個不同的IP地址訪問他們的網(wǎng)站。”Flesch說。他還補充道，即使受害者啟用了防火墻來阻止ChatGPT機器人使用的IP地址范圍，機器人仍然會發(fā)送請求。“因此，一個失敗或被阻止的請求，不會阻止ChatGPT機器人在下一毫秒再次請求受害者網(wǎng)站。由于這種放大效應(yīng)，攻擊者可以向ChatGPT API發(fā)送少量請求，但受害者將收到大量請求。”

Flesch 通過多個渠道報告了這一未經(jīng)身份驗證的反射型DDoS漏洞，包括OpenAI的BugCrowd漏洞報告平臺、OpenAI安全團隊的電子郵件、微軟和HackerOne，但至今未收到任何回復(fù)。

Flesch認為更大的問題是這個API還容易受到提示注入攻擊。Flesch質(zhì)疑，為什么OpenAI機器人沒有實現(xiàn)簡單且成熟的方法，以正確去重請求列表中的URL，或者限制列表的大小，也沒有解決在ChatGPT主界面中已修復(fù)的提示注入漏洞。

Flesch 說：“在我看來，這個小API似乎是ChatGPT AI代理的一個示例項目，任務(wù)是從用戶提供的數(shù)據(jù)中解析出URL，然后使用Azure抓取網(wǎng)站。‘AI代理’沒有內(nèi)置安全功能嗎？因為負責處理urls[]參數(shù)的‘AI代理’似乎完全沒有資源耗盡的概念，也不明白為什么同一秒內(nèi)向同一個網(wǎng)站發(fā)送數(shù)千個請求是愚蠢的行為。難道它沒有意識到victim.com/1和victim.com/2都是指向同一個網(wǎng)站victim.com嗎？如果victim.com/1的請求失敗了，為什么還會立即向victim.com/2發(fā)送請求呢？這些都是人們多年來一直在軟件中實施的驗證邏輯，以防止此類濫用現(xiàn)象出現(xiàn)。 ”

Flesch表示，唯一能想到的解釋是OpenAI正在使用AI代理來觸發(fā)這些HTTP請求。“我無法想象一個高薪的硅谷工程師會設(shè)計出這樣的軟件，因為ChatGPT爬蟲已經(jīng)像谷歌爬蟲一樣在網(wǎng)絡(luò)上爬行了多年。如果爬蟲不限制對同一網(wǎng)站的請求數(shù)量，它們會立即被屏蔽。”

參考來源：https://www.theregister.com/2025/01/19/openais_chatgpt_crawler_vulnerability/