miss.cabul – Shutterstock.com
Der Sicherheitsforscher Benjamin Flesch hat kürzlich herausgefunden, dass eine Lücke im ChatGPT-Crawler für DDoS-Attacken missbraucht werden kann. Demnach reicht eine einzige HTTP-Anfrage an die ChatGPT-API aus, um eine Zielwebsite mit Netzwerkanfragen des ChatGPT-Crawlers zu überfluten.
„Die API erwarte eine Liste von Hyperlinks“, erklärt der Experte. Jedoch werde nicht geprüft, ob die Hyperlinks trotz leicht veränderter Schreibweise alle zur gleichen Ressource führen. Zudem sei die maximale Anzahl übergebener Hyperlinks nicht begrenzt. „Dies ermöglicht die Übertragung von vielen Tausend Hyperlinks innerhalb einer einzigen HTTP-Anfrage“, so Flesch.
Anschließend sende der ChatGPT-Crawler für jeden dieser Links eine HTTP-Anfrage an die jeweilige Zielwebseite, heißt es weiter im Forschungsbericht. Diese Anfragen laufen über OpenAIs Server in der Microsoft-Azure-Cloud. „Das Opfer wird nie erfahren, was ihm passiert ist, weil es nur sieht, dass der ChatGPT-Bot seine Website von etwa 20 verschiedenen IP-Adressen gleichzeitig aus angreift“, kommentiert Flesch gegenüber dem News-Portal The Register. Der Bot lasse sich selbst durch das Blockieren von Anfragen, etwa durch eine Firewall, nicht davon abbringen, die Webressource des Opfers weiterhin abzufragen.