- OpenAIのChatGPTクローラーは、任意のウェブサイトに分散型サービス拒否(DDoS)攻撃を開始する意思があるように見える
- セキュリティ研究者のBenjamin Fleschによる報告によると、ChatGPT APIへの単一のHTTPリクエストを使用して、対象のウェブサイトをChatGPTクローラーからのネットワークリクエストで洪水を起こすことができる
- この膨大な接続の洪水は、実際には任意のサイトを倒すのに十分かどうかは疑問が残るが、それでもOpenAIにとっては危険であり、見逃しである
- APIは、urlsのパラメーターにハイパーリンクのリストを期待しており、同じリソースへのハイパーリンクがリスト内に複数回現れるかどうかを確認せず、urlsパラメーターに格納されるハイパーリンクの最大数に制限を課さないため、一つのHTTPリクエストで多数のハイパーリンクを送信できる
この記事はOpenAIのChatGPTにおけるセキュリティ上の脆弱性について報告しており、未認識のままであることが明らかになっています。特に、APIへのHTTPリクエストを悪用することで、DDoS攻撃を引き起こす可能性があることが指摘されています。OpenAIはこの問題についての対応が必要とされています。
元記事: https://www.theregister.com/2025/01/19/openais_chatgpt_crawler_vulnerability/