要約:
- ChatGPTのAPIに存在する脆弱性により、DDoS攻撃が可能となるが、OpenAIが問題を修正済み。
- 脆弱性はAPIがHTTP POSTリクエストを処理する際に発生し、複数のURLを含める制限がなかったことに起因。
- 脆弱性は8.6のCVSSスコアを割り当てられ、ネットワークベースで低複雑性で権限やユーザー操作が不要。
- 問題が報告された後、OpenAIは脆弱なエンドポイントを無効化し、プロフオブコンセプトコードも動作しなくなった。
- セキュリティ研究者は、OpenAIやMicrosoftに問題を報告し、報道があるまで無視されたと主張。
感想:
この記事から、セキュリティ研究者が新たな脆弱性を発見し、責任ある開示のもとに問題の修正が行われた事例が示されています。しかし、初期段階では連絡が無視されたり、問題解決まで時間がかかったとの記述があります。セキュリティに関する問題は迅速かつ適切に対処されるべきであり、情報開示が重要であることが改めて強調されました。また、OpenAIのアクセスポリシーや外部セキュリティ研究者へのアクセス制限についての懸念も示唆されており、技術の進化とセキュリティの両面を考慮する必要があると感じました。
元記事: https://cyberscoop.com/ddos-openai-chatgpt-api-vulnerability-microsoft/