챗GPT API 결함 발견…DDoS 및 프롬프트 인젝션 위협 우려
챗GPT API 결함 발견…DDoS 및 프롬프트 인젝션 위협 우려
오픈AI가 소유한 챗GPT에서 사이버 공격자가 DDoS 공격을 실행할 수 있는 취약점이 발견된 것으로 보인다. 독일의 보안 연구원 벤자민 플레쉬에 따르면, 챗GPT 개선을 위해 오픈AI가 인터넷에서 데
www.itworld.co.kr
- 취약점 개요
- 독일 보안 연구원 벤자민 플레쉬, 챗GPT API에서 DDoS 및 프롬프트 인젝션 공격 가능성 발견
- 챗GPT 크롤러를 임의의 웹사이트에 HTTP 요청을 증폭하도록 속일 수 있는 구조적 결함 존재
- 오픈AI 및 마이크로소프트에 보고되었으나 아직 결함을 인정하지 않음
- DDoS 취약점 분석
- 챗GPT 크롤러가 API 요청을 통해 무작위 웹사이트로 HTTP 트래픽을 유발할 수 있음
- 중복 하이퍼링크 검증 없음, 요청 개수 제한 없음 → 단일 요청으로 수천 개의 하이퍼링크 포함 가능
- 마이크로소프트 애저 서버를 활용한 대량 트래픽 생성 가능, 대상 사이트에 과부하 초래
- 프롬프트 인젝션 공격 위험
- API의 ‘urls’ 매개변수를 통해 임의의 명령을 LLM(대형언어모델)에 전달 가능
- 공격자가 크롤러의 웹사이트 데이터 수집 기능을 조작하여 API를 특정 쿼리에 응답하도록 유도 가능
- 과도한 프롬프트 제출로 오픈AI 서버 부하 초래 가능
- 취약점 심각도 및 평가
- CVSS 점수 8.6점(10점 만점)으로 높은 위험도
- 네트워크 기반 공격 가능, 낮은 공격 복잡성, 권한 요구 없음, 광범위한 서비스 영향 예상
- 보안 권고
- HTTP 요청 검증 강화 및 중복 하이퍼링크 제한 적용 필요
- ‘urls’ 매개변수 검증 및 필터링 강화하여 프롬프트 인젝션 방지
- API 트래픽 모니터링 및 비정상적인 요청 탐지 시스템 도입
- DDoS 완화 솔루션 적용 및 크롤러의 요청 제한 정책 강화
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Ivanti Cloud Service Applications 취약점 연쇄 활용 (0) | 2025.01.31 |
|---|---|
| 큐냅 NAS OS에서 RCE 취약점 발견…보안 업데이트 필수 (0) | 2025.01.31 |
| Rails 애플리케이션 임의 파일 쓰기 취약 악용 시 원격 코드 실행(RCE) 가능 (0) | 2025.01.31 |
| 주니퍼 라우터 대상 'Magic Packet' 취약점 악용 백도어 발견 (0) | 2025.01.31 |
| Palo Alto 방화벽에서 Secure Boot 우회 및 펌웨어 취약점 발견 (0) | 2025.01.31 |