ChatGPT İle İlgili Gizli DDoS Riskleri Ortaya Çıktı
OpenAI’nin popüler yapay zeka modeli ChatGPT, güvenlik açıkları nedeniyle eleştirilerin odağında. Araştırmacılar, API üzerinden kötüye kullanımla DDoS saldırılarının mümkün olabileceğini vurguluyor. Bu durum, yapay zeka tabanlı sistemlerde daha güçlü güvenlik önlemleri gerekliliğini bir kez daha gündeme getiriyor.
ChatGPT Kullanılarak DDoS Saldırıları Yapılabilir mi? Araştırmacılar Bunun Olabilceğini Gösteriyor.
OpenAI'nin popüler yapay zeka modeli ChatGPT, güvenlik araştırmacılarının dikkatini çekti ve DDoS (Distributed Denial of Service) saldırılarına açık olduğu iddialarıyla gündeme geldi. Güvenlik araştırmaları , OpenAI'nin temel güvenlik önlemlerini almamasını gösterirken bu tür saldırıların kolaylaştırılabileceğini de gösteriyor.
ChatGPT API’sindeki Güvenlik Açığı
Araştırmalar ChatGPT’nin API'si, sistemin manipüle edilmesine olanak tanındığını gösteriyor. Bu açık, özellikle ChatGPT-User agent adı verilen botun, hedeflenen bir web sitesine saniyede binlerce talep göndermesine yol açabiliyor. Araştırmalar , bu açığın bir “ciddi kalite kusuru” olduğunu ve HTTP POST taleplerinin kötüye kullanılabileceğini gösteriyor.
Sorunun Temelinde Ne Var?
Yapılan araştırmalar da , API’ye gönderilen URL listeleri üzerinde herhangi bir doğrulama yapılmıyor. Bu da aynı siteye işaret eden, ancak küçük farklılıklar içeren binlerce URL’nin işlenmesine neden oluyor. Açık, şu şekilde işliyor:
- Saldırgan, uzun bir URL listesi oluşturuyor.
- Bu liste, bir HTTP POST talebiyle ChatGPT API’sine gönderiliyor.
- API, liste içindeki her URL’ye birden fazla talep göndererek hedef web sitesini boğuyor.
Amplifikasyon ve Sonuçları
Saldırganlar, küçük bir talep göndererek, hedef siteye çok büyük hacimlerde istek yönlendirebiliyor. API’nin, bu talepleri Microsoft Azure sunucuları üzerinden işlediği ve isteklerin farklı IP adreslerinden geldiği belirtiliyor. Bu durum, hedeflenen web sitesinin saldırıyı tespit etmesini veya engellemesini zorlaştırıyor.
Ayrıca, bu sistemin başka bir açığa da sahip olduğu yapılan araştırmalarda belirlendi. Prompt Injection. Bu açık, sistemin yalnızca veri çekmesi gereken durumlarda bile keyfi komutları işleyebilmesine olanak tanıyor.
OpenAI'nin Sessizliği
Bu güvenlik açıklarının OpenAI’a BugCrowd platformu üzerinden bildirdiğini ancak bir yanıt alamadığını da ifade ediliyor. Benzer şekilde Microsoft’un güvenlik ekipleri de aynı sessizliği sürdürdü.
Güvenlik Eksikliklerine Eleştiri
OpenAI’in API geliştirme sürecinde temel yazılım geliştirme normlarını ihmal edildiği de iddalar arasında yer alıyor. Araştırmacılar ; “Eğer bir tarayıcı, aynı siteye sınırsız talepte bulunursa, bu site tarafından hemen engellenir,” diyerek, bu tür hataların profesyonel bir ekip tarafından yapılmaması gerektiğini vurguluyorlar.
Uyarılar
Bu olay, yapay zeka sistemlerinin daha güvenli hale getirilmesi gerektiğini bir kez daha gözler önüne seriyor. Özellikle API’lerin kötüye kullanımını önlemek için URL doğrulama, liste boyutu sınırlaması ve isteklere yönelik kontrollerin uygulanması gibi temel önlemler alınmalı.
Bu araştırma , sadece OpenAI’nin değil, benzer yapay zeka sistemleri geliştiren diğer şirketlerin de güvenlik önlemlerini gözden geçirmesi gerektiğini hatırlatıyor.
Kaynak: https://dataconomy.com/2025/01/20/can-chatgpt-be-used-for-ddos-attacks-researchers-say-yes/
Tepkiniz Nedir?
