Top.Mail.Ru
Общество
Москва
0

Почему ChatGPT интересен злоумышленникам

пользователь
Разработчики отечественных нейросетей намного серьезнее подходят к обеспечению безопасности пользователей

МОСКВА, 29 января, ФедералПресс. В январе этого года в API ChatGPT была обнаружена серьезная уязвимость, которая позволяла злоумышленникам организовать DDoS-атаки на сторонние сайты. Проблема заключалась в обработке HTTP-запросов, где API ChatGPT мог генерировать множество запросов к указанным гиперссылкам. Уязвимость имела высокий уровень опасности (CVSS 8.6), поскольку не требовала аутентификации, пользовательского взаимодействия или привилегий.

Как выяснилось, дефект в программировании OpenAI позволял отправить сотни и тысячи ссылок через параметр urls в API. В результате этого серверы OpenAI, работающие на платформе Microsoft Azure, начинали массово подключаться к указанным сайтам, что создавало чрезмерную нагрузку и могло привести к их отказу в обслуживании.

«Западные ИТ-компании, такие как OpenAI и Microsoft, в очередной раз продемонстрировали полное пренебрежение безопасностью и ответственностью перед пользователями. Отсутствие обратной связи и игнорирование критических сообщений о такой опасной уязвимости – это не просто недоработка, а прямое доказательство их неспособности управлять собственными технологиями. Очевидно, что доверять ИТ-продуктам этих компаний – огромный риск.

И в этом нет необходимости, так как у нас уже есть достойные аналоги их ИТ-решениям, в том числе ИИ-продуктам. Разработчики отечественных нейросетей намного серьезнее подходят к обеспечению безопасности пользователей», – отметил член Общественного совета при Минцифры России, первый зампред комиссии по просвещению и воспитанию Общественной палаты РФ Армен Гаспарян.

API ChatGPT не контролировал наличие дублирующихся ссылок в запросах и не устанавливал ограничение на их количество. Это создавало значительный потенциал для злоупотреблений: одной команды хватало, чтобы инициировать сотни соединений с серверов OpenAI к целевому сайту в течение нескольких секунд.

Несмотря на публичное раскрытие уязвимости, OpenAI и Microsoft не отреагировали на сообщения исследователей. Попытки связаться с компаниями через их официальные каналы, включая платформы для отчетов об уязвимостях, почту и даже GitHub, остались без ответа. В некоторых случаях ответы были сгенерированы автоматически и не содержали практических действий.

«Настораживает подход западных ИТ-компаний к безопасности своих продуктов. Особенно непонятно то, почему OpenAI и Microsoft оперативно не отреагировали на серьезную уязвимость, которая позволила использовать невероятную мощь их сервиса в противоправных целях. Ведь тут речь про безопасность пользователей. И про соблюдение законов в широком смысле этого слова.

Отечественные разработчики при создании в том числе ИИ-продуктов учитывают важность обеспечения безопасности будущих пользователей. Сейчас, когда нас окружают различные цифровые технологии, важно заботиться о своей киберзащите. В этом нам помогают отечественные разработчики, которые ценят безопасность пользователей. Это особенно важно в ситуации, когда множество пользователей используют GPT-сервисы для работы с приватной информацией, содержащей персональные, коммерческие и даже служебные данные. И не особо при этом задумываются, как эти данные могут быть использованы или могут проявить себя, оказавшись внутри таких сервисов», – подчеркнул эксперт РОЦИТ, руководитель проекта «Технологии» «Российской газеты» Олег Капранов.

Ранее сообщалось, что злоумышленники все чаще прибегают к обману пользователей, который связан с иностранными ИИ-продуктами. Например, более 10 миллионов россиян могут подвергнуться риску раскрытия своих конфиденциальных данных, пользуясь поддельными версиями иностранных нейросетей, такими как ChatGPT, Dall-E, Midjourney и другими крупными языковыми моделями.

Изображение сгенерировано нейросетью Kandinsky 3.1

Подписывайтесь на ФедералПресс в Дзен.Новости, а также следите за самыми интересными новостями в канале Дзен. Все самое важное и оперативное — в telegram-канале «ФедералПресс».

Добавьте ФедералПресс в мои источники, чтобы быть в курсе новостей дня.