La clave del problema radica en un punto final de la API que ChatGPT utiliza para recuperar información sobre las fuentes web citadas en sus respuestas. Flesch señala que, debido a malas prácticas de programación, OpenAI no valida si un hipervínculo se repite en la lista de URLs enviada a este endpoint, ni establece un límite en el número de enlaces permitidos. Esto significa que un atacante puede enviar una lista extensa de URLs, todas apuntando al mismo sitio, lo que provoca que el rastreador acceda a ellas simultáneamente, multiplicando así el volumen de solicitudes enviadas al sitio objetivo.
Flesch subraya que un atacante puede usar herramientas comunes como Curl para enviar un HTTP POST sin necesidad de autenticación. Esto permite que los servidores de OpenAI generen múltiples solicitudes hacia el sitio web víctima desde diferentes direcciones IP. Como resultado, una víctima puede verse abrumada por el tráfico proveniente de la API de ChatGPT sin saber la causa de la sobrecarga. La variabilidad de las direcciones IP complicaría aún más la identificación del origen del ataque, dado que el sitio podría ver solicitudes simultáneas de 20 o más direcciones diferentes.
Flesch afirma que ha intentado notificar a OpenAI sobre esta vulnerabilidad a través de varios canales, incluyendo su plataforma de informes de vulnerabilidades y a Microsoft, pero no ha recibido respuesta. Además, menciona que la API es susceptible a una inyección rápida, lo que permitiría a un atacante inducir respuestas no deseadas desde el bot en el mismo endpoint. Este tipo de fallas de seguridad es preocupante, dado que podrían ser explotadas para realizar ataques más sofisticados.
El investigador critica directamente la falta de medidas de seguridad en la API de OpenAI. En su opinión, el sistema debería implementar validaciones lógicas para evitar abusos, como el enviar múltiples solicitudes a la misma URL en cortos períodos. Flesch plantea dudas sobre la calidad del diseño del software, sugiriendo que parece más un experimento que un producto maduro. Argumenta que un ingeniero experimentado no habría pasado por alto estas importantes consideraciones de seguridad.
Flesch también hace énfasis en que el comportamiento del rastreador parece ser el resultado de un agente de inteligencia artificial que no está adecuadamente entrenado para gestionar la seguridad de sus solicitudes, resaltando que un rastreador convencional, como el de Google, ya implementa limitaciones que evitan la saturación de un sitio específico con solicitudes. En su análisis, también plantea que la falta de deduplicación de URLs y la ausencia de límites en la lista de hipervínculos son fallas de programación que deberían haberse solucionado en un entorno de producción.
Este problema pone de relieve la necesidad urgente de que OpenAI tome medidas para abordar esta vulnerabilidad, así como para implementar prácticas de seguridad adecuadas en su API. La inacción ante estas advertencias podría no solo acarrear problemas para los sitios web afectados, sino también dañar la reputación de OpenAI como proveedor de tecnología avanzada. En última instancia, el éxito de un «agente de IA» seguro y eficiente dependerá de la implementación de controles de seguridad robustos que prevengan tales abusos en el futuro.
Enlace de la fuente, haz clic para tener más información