إذا كنت تستخدم برنامج chatGPT-web افتراضيًا ، فسيتم فحصه بواسطة الأشخاص عن طريق الخطأ ، وسيتم استخدامه مجانًا.
** بقلم: وي جيانفان **
منذ أن قدمت OpenAI واجهة GPT API ، استخدم العديد من الطلاب برنامجًا مفتوح المصدر لبناء موقع chatGPT الخاص بهم.
هذا البرنامج مفتوح المصدر هو chatGPT-web ، وعنوان URL هو:
بعد الإنشاء ، ستبدو الواجهة على الأرجح كما يلي:
ومع ذلك ، إذا كنت تستخدم هذا البرنامج افتراضيًا ، إذا لم تكن حريصًا (بمعنى أنك لا تعرف كيفية تعيينه) ، فسيتم مسحه ضوئيًا واستخدامه بواسطة الآخرين مجانًا.
تم تعيين العديد من المشرفين على مواقع الويب واحدًا تلو الآخر ، ووجدوا أن chatGPT الذي قاموا بإعداده لم يستخدم كثيرًا بأنفسهم ، ولكن تم استخدامه بكثافة من قبل الآخرين ، ووصلت رسوم واجهة برمجة التطبيقات اليومية إلى عدة دولارات.
والسبب هو أن موقعه الإلكتروني تم اكتشافه واستخدامه من قبل العديد من الأشخاص مجانًا.
كيف يكتشف الآخرون هذا الموقع؟
توجد بعض محركات البحث عن أصول الويب على الإنترنت (يسميها البعض "تعيين الفضاء الإلكتروني"). من خلال تحديد معلومات العنوان ومعلومات اسم المجال ومعلومات IP والمنافذ ومعلومات البروتوكول ومعلومات الرأس ومعلومات نص html ومعلومات البانر والمدينة يمكن استخدام المعلومات ، ومعلومات الشهادة ، وما إلى ذلك ، للبحث في أصول المعلومات على الإنترنت بشكل ملائم للغاية ، مثل البحث عن صفحات الويب ذات العناوين المحددة ، والبحث عن نشر برنامج معين على الإنترنت ، ومسح الشبكة بالكامل بحثًا عن نقاط الضعف .
أشهر هذه المحركات هي FOFA و shodan.
باستخدام محركات البحث هذه ، يمكنك العثور على جميع الأصول المتعلقة بالإنترنت تقريبًا ، لأن محركات البحث هذه تبحث عن العديد من الخوادم ، وأجهزة التوجيه ، والأجهزة الذكية ، والكاميرات ، والطابعات ، وما إلى ذلك على الإنترنت في جميع الأوقات تقريبًا ، حتى يتمكن المستخدمون من البحث عن البحث ، يمكنك إرجاع نتائج البحث بسرعة.
الأمر المخيف حقًا هو أن العديد من مواقع الويب أو الأجهزة على الإنترنت ليس لديها إجراءات حماية أمنية ، لذلك يمكن للآخرين الدخول بسهولة بعد البحث.
برنامج chatGPT-web هو برنامج مفتوح المصدر ، والعنوان الافتراضي للصفحة الأولى هو: ChatGPT Web
ثم في محرك البحث عن الأصول ، ابحث عن موقع الويب الذي عنوانه ChatGPT Web ، ويمكنك العثور على موقع الويب الذي يستخدم هذا المشروع مفتوح المصدر.
يمكن ملاحظة أنه تم البحث في أكثر من 20000 موقع ويب من هذا القبيل في ما يزيد قليلاً عن ثانية واحدة.
إذا لم يكن لهذه المواقع حماية بكلمة مرور (الافتراضي ليس كذلك ، إلا إذا قمت بتعيينه) ، يمكن للماسح الضوئي استخدام chatGPT مباشرة مجانًا.
كيف تمنع
في الواقع ، تم شرح هذه المشكلة في README الخاص بـ chatGPT-web ، لكن العديد من المستخدمين يبذلون كل طاقاتهم في كيفية جعل موقع الويب يعمل ، دون قراءة تعليمات الأمان هذه بعناية.
إذا كنت تستخدمه حقًا ، فلا يزال هناك وقت لتغييره. بعد كل شيء ، يمكنك أن تخسر أقل وتخسر أقل.
في ملف index.html للواجهة الأمامية ، قم بتغيير العنوان إلى شيء آخر ، ويجب عدم تضمين كلمة ChatGPT.
في ملف التكوين ، قم بتعيين AUTH \ _SECRET \ _KEY لإضافة كلمة مرور وصول إلى صفحة الويب.
إذا قمت بإنشاء الواجهة الخلفية بنفسك ، فقم بتعيين AUTH \ _SECRET \ _KEY في ملف .env في دليل الخدمة.
إذا كنت تستخدم Docker Compose ، فاضبطه في ملف docker-compose.yml في دليل docker-compose.
بعد إضافة التحقق من كلمة المرور ، ستصبح صفحة الويب كما يلي:
سيكون هذا أفضل بكثير ، على الأقل يمكنه منع عدد كبير من المحاولين العاديين.
خاتمة
لذلك ، يجب أن يكون لدى المشرفين على موقع الويب الوعي الأمني الأساسي.تعتقد أن الآخرين لا يمكنهم العثور عليك ، ولكن في الواقع ، اكتشفك الآخرون بالفعل واستخدموك.
يجب على مطوري البرامج التفكير في كيفية جعل التثبيت الافتراضي للبرنامج آمنًا ، مثل السماح للبرنامج بإنشاء عناوين مختلفة تلقائيًا ، وإنشاء كلمات مرور افتراضية تلقائيًا ، وما إلى ذلك ، بدلاً من انتظار قيام المستخدم بتعيينها.
يمكنك أن تقول ، أنا مفتوح المصدر ، ليس لدي مثل هذا الالتزام ، سواء كنت تستخدمه أم لا ، فهو عملك الخاص ، ولكن إذا قمت بعمل جيد ، فستكون سمعتك جيدة جدًا.
نظرًا لأن المستخدمين غالبًا ما يكونون مثل عمليات التثبيت الخادعة ، فإنهم لا يكلفون أنفسهم عناء تغيير أي شيء.
قد تكون هناك مشكلات أخرى على موقع الويب ، اعتمادًا على ما إذا كان المهاجم لديه نوايا ، لذلك لن أخوض في التفاصيل هنا. إذا كنت مهتمًا ، يمكنك إلقاء نظرة على هذه المقالة: "تحليل مخاطر ChatGPT باستخدام النشر المحلي الخاص".
شاهد النسخة الأصلية
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
بناء موقع chatGPT مع برنامج مفتوح المصدر؟ احذر من الآخرين الذين ينفقون أموالك!
** بقلم: وي جيانفان **
منذ أن قدمت OpenAI واجهة GPT API ، استخدم العديد من الطلاب برنامجًا مفتوح المصدر لبناء موقع chatGPT الخاص بهم.
هذا البرنامج مفتوح المصدر هو chatGPT-web ، وعنوان URL هو:
بعد الإنشاء ، ستبدو الواجهة على الأرجح كما يلي:
ومع ذلك ، إذا كنت تستخدم هذا البرنامج افتراضيًا ، إذا لم تكن حريصًا (بمعنى أنك لا تعرف كيفية تعيينه) ، فسيتم مسحه ضوئيًا واستخدامه بواسطة الآخرين مجانًا.
تم تعيين العديد من المشرفين على مواقع الويب واحدًا تلو الآخر ، ووجدوا أن chatGPT الذي قاموا بإعداده لم يستخدم كثيرًا بأنفسهم ، ولكن تم استخدامه بكثافة من قبل الآخرين ، ووصلت رسوم واجهة برمجة التطبيقات اليومية إلى عدة دولارات.
والسبب هو أن موقعه الإلكتروني تم اكتشافه واستخدامه من قبل العديد من الأشخاص مجانًا.
كيف يكتشف الآخرون هذا الموقع؟
توجد بعض محركات البحث عن أصول الويب على الإنترنت (يسميها البعض "تعيين الفضاء الإلكتروني"). من خلال تحديد معلومات العنوان ومعلومات اسم المجال ومعلومات IP والمنافذ ومعلومات البروتوكول ومعلومات الرأس ومعلومات نص html ومعلومات البانر والمدينة يمكن استخدام المعلومات ، ومعلومات الشهادة ، وما إلى ذلك ، للبحث في أصول المعلومات على الإنترنت بشكل ملائم للغاية ، مثل البحث عن صفحات الويب ذات العناوين المحددة ، والبحث عن نشر برنامج معين على الإنترنت ، ومسح الشبكة بالكامل بحثًا عن نقاط الضعف .
أشهر هذه المحركات هي FOFA و shodan.
باستخدام محركات البحث هذه ، يمكنك العثور على جميع الأصول المتعلقة بالإنترنت تقريبًا ، لأن محركات البحث هذه تبحث عن العديد من الخوادم ، وأجهزة التوجيه ، والأجهزة الذكية ، والكاميرات ، والطابعات ، وما إلى ذلك على الإنترنت في جميع الأوقات تقريبًا ، حتى يتمكن المستخدمون من البحث عن البحث ، يمكنك إرجاع نتائج البحث بسرعة.
الأمر المخيف حقًا هو أن العديد من مواقع الويب أو الأجهزة على الإنترنت ليس لديها إجراءات حماية أمنية ، لذلك يمكن للآخرين الدخول بسهولة بعد البحث.
برنامج chatGPT-web هو برنامج مفتوح المصدر ، والعنوان الافتراضي للصفحة الأولى هو: ChatGPT Web
ثم في محرك البحث عن الأصول ، ابحث عن موقع الويب الذي عنوانه ChatGPT Web ، ويمكنك العثور على موقع الويب الذي يستخدم هذا المشروع مفتوح المصدر.
يمكن ملاحظة أنه تم البحث في أكثر من 20000 موقع ويب من هذا القبيل في ما يزيد قليلاً عن ثانية واحدة.
إذا لم يكن لهذه المواقع حماية بكلمة مرور (الافتراضي ليس كذلك ، إلا إذا قمت بتعيينه) ، يمكن للماسح الضوئي استخدام chatGPT مباشرة مجانًا.
كيف تمنع
في الواقع ، تم شرح هذه المشكلة في README الخاص بـ chatGPT-web ، لكن العديد من المستخدمين يبذلون كل طاقاتهم في كيفية جعل موقع الويب يعمل ، دون قراءة تعليمات الأمان هذه بعناية.
إذا كنت تستخدمه حقًا ، فلا يزال هناك وقت لتغييره. بعد كل شيء ، يمكنك أن تخسر أقل وتخسر أقل.
في ملف index.html للواجهة الأمامية ، قم بتغيير العنوان إلى شيء آخر ، ويجب عدم تضمين كلمة ChatGPT.
في ملف التكوين ، قم بتعيين AUTH \ _SECRET \ _KEY لإضافة كلمة مرور وصول إلى صفحة الويب.
إذا قمت بإنشاء الواجهة الخلفية بنفسك ، فقم بتعيين AUTH \ _SECRET \ _KEY في ملف .env في دليل الخدمة.
إذا كنت تستخدم Docker Compose ، فاضبطه في ملف docker-compose.yml في دليل docker-compose.
بعد إضافة التحقق من كلمة المرور ، ستصبح صفحة الويب كما يلي:
سيكون هذا أفضل بكثير ، على الأقل يمكنه منع عدد كبير من المحاولين العاديين.
خاتمة
لذلك ، يجب أن يكون لدى المشرفين على موقع الويب الوعي الأمني الأساسي.تعتقد أن الآخرين لا يمكنهم العثور عليك ، ولكن في الواقع ، اكتشفك الآخرون بالفعل واستخدموك.
يجب على مطوري البرامج التفكير في كيفية جعل التثبيت الافتراضي للبرنامج آمنًا ، مثل السماح للبرنامج بإنشاء عناوين مختلفة تلقائيًا ، وإنشاء كلمات مرور افتراضية تلقائيًا ، وما إلى ذلك ، بدلاً من انتظار قيام المستخدم بتعيينها.
يمكنك أن تقول ، أنا مفتوح المصدر ، ليس لدي مثل هذا الالتزام ، سواء كنت تستخدمه أم لا ، فهو عملك الخاص ، ولكن إذا قمت بعمل جيد ، فستكون سمعتك جيدة جدًا.
نظرًا لأن المستخدمين غالبًا ما يكونون مثل عمليات التثبيت الخادعة ، فإنهم لا يكلفون أنفسهم عناء تغيير أي شيء.
قد تكون هناك مشكلات أخرى على موقع الويب ، اعتمادًا على ما إذا كان المهاجم لديه نوايا ، لذلك لن أخوض في التفاصيل هنا. إذا كنت مهتمًا ، يمكنك إلقاء نظرة على هذه المقالة: "تحليل مخاطر ChatGPT باستخدام النشر المحلي الخاص".