一位安全研究人員發現，OpenAI 的 ChatGPT 爬蟲程式存在一個漏洞，攻擊者可以透過提交(submit)指向相同目標的多個 URL 對網站發動分散式阻斷服務 (DDoS) 攻擊。此缺陷源自於爬蟲程式未能對 URL 進行重複資料刪除或限制請求數量。研究人員還發現了一個提示注入(Prompt injection)漏洞，可以實現對爬蟲的未經授權的查詢。儘管有多份報告指出，OpenAI 尚未承認或解決這些問題。研究人員認為，這些漏洞可能是由於爬蟲程序中使用了不安全的「AI agent」所造成的。

ChatGPT爬蟲程式可能導致DDoS攻擊

• 此漏洞允許攻擊者利用 OpenAI 的 ChatGPT 爬蟲程式對網站發動分散式阻斷服務 (DDoS) 攻擊。
• 攻擊者可以透過向 ChatGPT API 端點 https://chatgpt.com/backend-api/attributions 發送單一 HTTP POST 請求來實現此目的。 ChatGPT 使用此端點來檢索其輸出中引用的網站的資訊。
• 此漏洞是由於 API 處理 HTTP POST 請求中的 urls 參數的方式有缺陷而導致的。此參數的用途是傳送存取和收集資訊的 URL 清單給ChatGPT 爬蟲程式。
• 但是，OpenAI 的程式碼不會檢查重複項或強制限制此清單中的 URL 數量。這使得攻擊者可以提交(submit)大量 URL，所有 URL 都指向同一個目標網站，導致 ChatGPT 爬蟲向網站發送大量請求。這些透過 Cloudflare 代理程式從不同 IP 位址發送的大量請求可能會壓垮目標並引發 DDoS 攻擊。
• 攻擊的受害者可能不知道攻擊的真正來源，因為他們只會觀察到與 ChatGPT 爬蟲相關聯的來自不同 IP 位址的大量請求。該漏洞已透過各種管道報告給 OpenAI，但尚未解決。

ChatGPT可能導致Prompt Injection

• 除了 DDoS 漏洞之外，歸因 API 端點也容易受到提示注入的影響。儘管該端點僅設計用於獲取網站信息，但此漏洞允許攻擊者向 ChatGPT 爬蟲發送問題並接收答案。這表明 OpenAI 可能正在使用其自主的「AI agent」技術來完成這項任務。安全研究員 Benjamin Flesch 推測，之所以存在提示注入漏洞，是因為 OpenAI 正在透過此 API 對其 AI 代理進行「內部測試」。
• 這引發了人們對 OpenAI 人工智慧代理開發的安全實踐的擔憂，因為缺乏重複 URL 刪除和限制清單大小等基本安全措施。弗萊施表示驚訝，像這樣一個由高薪工程師設計的簡單 API，竟然缺乏防止濫用的基本保障。他認為，一個設計良好的系統應該能夠識別指向同一網站的重複 URL，並避免發送過多的請求，尤其是在初始請求失敗時。
• 缺乏這些基本的安全措施，再加上存在提示注入漏洞，表明負責處理 urls[] 參數的 AI 代理可能沒有充分配備諸如防止資源耗盡之類的安全措施。

參考資料

• OpenAI's ChatGPT crawler can be tricked into DDoSing sites, answering your queries