Si usa el software chatGPT-web de forma predeterminada, las personas lo escanearán accidentalmente y se usará de forma gratuita.
Escrito por: Wei Jianfan
Dado que OpenAI proporcionó la API de GPT, muchos estudiantes utilizaron un software de código abierto para crear su propio sitio web de chatGPT.
Este software de código abierto es chatGPT-web, la URL es:
Después de construir, la interfaz probablemente se verá así:
Sin embargo, si usa este software de forma predeterminada, si no tiene cuidado (lo que significa que no sabe cómo configurarlo), será escaneado y utilizado por otros de forma gratuita.
Muchos mantenedores de sitios web han sido reclutados uno tras otro y descubrieron que el chatGPT que configuraron no se ha utilizado mucho por ellos mismos, pero sí lo han utilizado mucho otros, y la tarifa diaria de la API ha llegado a varios dólares.
La razón es que su sitio web fue descubierto y utilizado por muchas personas de forma gratuita.
¿Cómo descubren otras personas este sitio?
Hay algunos motores de búsqueda de activos web en Internet (algunas personas los llaman "mapeo del ciberespacio"). Al especificar la información del título, la información del nombre de dominio, la información de IP, la información de puerto y protocolo, la información de encabezado, la información de texto html, la información de banner, la ciudad La información, la información del certificado, etc., se puede utilizar para buscar activos de información en Internet de manera muy conveniente, como buscar páginas web con títulos específicos, buscar la implementación de un determinado software en Internet y escanear toda la red en busca de vulnerabilidades. .
Los más conocidos de estos motores son FOFA y shodan.
Con estos motores de búsqueda, puede encontrar casi todos los activos relacionados con Internet, porque estos motores de búsqueda están buscando varios servidores, enrutadores, dispositivos inteligentes, cámaras, impresoras, etc. en Internet casi todo el tiempo, por lo que los usuarios cuando búsqueda, puede devolver rápidamente los resultados de la búsqueda.
Lo que realmente da miedo es que muchos sitios web o dispositivos en Internet no cuentan con medidas de protección de seguridad, por lo que otros pueden ingresar fácilmente después de buscar.
chatGPT-web es un software de código abierto, el título predeterminado de la página principal es: ChatGPT Web
Luego, en el motor de búsqueda de activos, busque el sitio web cuyo título es ChatGPT Web, y podrá encontrar el sitio web que utiliza este proyecto de código abierto.
Se puede ver que más de 20,000 sitios web de este tipo fueron buscados en poco más de 1 segundo.
Si estos sitios web no tienen protección con contraseña (el valor predeterminado no lo es, a menos que lo configure), el escáner puede usar directamente chatGPT de forma gratuita.
Como prevenir
De hecho, este problema está explicado en el LÉAME de chatGPT-web, pero muchos usuarios ponen toda su energía en cómo hacer que el sitio web funcione, sin leer detenidamente estas instrucciones de seguridad.
Si realmente lo usas, todavía estás a tiempo de cambiarlo, después de todo, puedes perder menos y perder menos.
En el archivo front-end index.html, cambie el título a otra cosa, y la palabra ChatGPT no debe incluirse.
En el archivo de configuración, configure AUTH_SECRET_KEY para agregar una contraseña de acceso a la página web.
Si crea el backend usted mismo, configure AUTH_SECRET_KEY en el archivo .env en el directorio de servicio.
Si usa Docker Compose, configúrelo en el archivo docker-compose.yml en el directorio docker-compose.
Después de agregar la verificación de contraseña, la página web se verá así:
Esto será mucho mejor, al menos puede bloquear una gran cantidad de intentos ordinarios.
Conclusión
Por lo tanto, los mantenedores de sitios web deben tener la conciencia de seguridad más básica.Piensas que otros no pueden encontrarte, pero de hecho, otros ya te han descubierto y usado.
Los desarrolladores de software deben considerar cómo hacer que la instalación predeterminada del software sea segura, como permitir que el programa genere automáticamente diferentes Títulos, genere automáticamente contraseñas predeterminadas, etc., en lugar de esperar a que el usuario lo configure.
Puedes decir, soy de código abierto, no tengo tal obligación, ya sea que lo uses o no, es asunto tuyo, pero si lo haces bien, tu reputación será muy buena.
Debido a que los usuarios suelen ser instalaciones tontas, no se molestan en cambiar nada.
Puede haber otros problemas en el sitio web, dependiendo de si el atacante tiene intenciones, por lo que no entraré en detalles aquí. Si estás interesado, puedes echarle un vistazo a este artículo: "Análisis de riesgos de ChatGPT con implementación privada nacional".
Ver originales
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
¿Crear un sitio web de chatGPT con software de código abierto? ¡Cuidado con que otros gasten su dinero!
Escrito por: Wei Jianfan
Dado que OpenAI proporcionó la API de GPT, muchos estudiantes utilizaron un software de código abierto para crear su propio sitio web de chatGPT.
Este software de código abierto es chatGPT-web, la URL es:
Después de construir, la interfaz probablemente se verá así:
Sin embargo, si usa este software de forma predeterminada, si no tiene cuidado (lo que significa que no sabe cómo configurarlo), será escaneado y utilizado por otros de forma gratuita.
Muchos mantenedores de sitios web han sido reclutados uno tras otro y descubrieron que el chatGPT que configuraron no se ha utilizado mucho por ellos mismos, pero sí lo han utilizado mucho otros, y la tarifa diaria de la API ha llegado a varios dólares.
La razón es que su sitio web fue descubierto y utilizado por muchas personas de forma gratuita.
¿Cómo descubren otras personas este sitio?
Hay algunos motores de búsqueda de activos web en Internet (algunas personas los llaman "mapeo del ciberespacio"). Al especificar la información del título, la información del nombre de dominio, la información de IP, la información de puerto y protocolo, la información de encabezado, la información de texto html, la información de banner, la ciudad La información, la información del certificado, etc., se puede utilizar para buscar activos de información en Internet de manera muy conveniente, como buscar páginas web con títulos específicos, buscar la implementación de un determinado software en Internet y escanear toda la red en busca de vulnerabilidades. .
Los más conocidos de estos motores son FOFA y shodan.
Con estos motores de búsqueda, puede encontrar casi todos los activos relacionados con Internet, porque estos motores de búsqueda están buscando varios servidores, enrutadores, dispositivos inteligentes, cámaras, impresoras, etc. en Internet casi todo el tiempo, por lo que los usuarios cuando búsqueda, puede devolver rápidamente los resultados de la búsqueda.
Lo que realmente da miedo es que muchos sitios web o dispositivos en Internet no cuentan con medidas de protección de seguridad, por lo que otros pueden ingresar fácilmente después de buscar.
chatGPT-web es un software de código abierto, el título predeterminado de la página principal es: ChatGPT Web
Luego, en el motor de búsqueda de activos, busque el sitio web cuyo título es ChatGPT Web, y podrá encontrar el sitio web que utiliza este proyecto de código abierto.
Se puede ver que más de 20,000 sitios web de este tipo fueron buscados en poco más de 1 segundo.
Si estos sitios web no tienen protección con contraseña (el valor predeterminado no lo es, a menos que lo configure), el escáner puede usar directamente chatGPT de forma gratuita.
Como prevenir
De hecho, este problema está explicado en el LÉAME de chatGPT-web, pero muchos usuarios ponen toda su energía en cómo hacer que el sitio web funcione, sin leer detenidamente estas instrucciones de seguridad.
Si realmente lo usas, todavía estás a tiempo de cambiarlo, después de todo, puedes perder menos y perder menos.
En el archivo front-end index.html, cambie el título a otra cosa, y la palabra ChatGPT no debe incluirse.
En el archivo de configuración, configure AUTH_SECRET_KEY para agregar una contraseña de acceso a la página web.
Si crea el backend usted mismo, configure AUTH_SECRET_KEY en el archivo .env en el directorio de servicio.
Si usa Docker Compose, configúrelo en el archivo docker-compose.yml en el directorio docker-compose.
Después de agregar la verificación de contraseña, la página web se verá así:
Esto será mucho mejor, al menos puede bloquear una gran cantidad de intentos ordinarios.
Conclusión
Por lo tanto, los mantenedores de sitios web deben tener la conciencia de seguridad más básica.Piensas que otros no pueden encontrarte, pero de hecho, otros ya te han descubierto y usado.
Los desarrolladores de software deben considerar cómo hacer que la instalación predeterminada del software sea segura, como permitir que el programa genere automáticamente diferentes Títulos, genere automáticamente contraseñas predeterminadas, etc., en lugar de esperar a que el usuario lo configure.
Puedes decir, soy de código abierto, no tengo tal obligación, ya sea que lo uses o no, es asunto tuyo, pero si lo haces bien, tu reputación será muy buena.
Debido a que los usuarios suelen ser instalaciones tontas, no se molestan en cambiar nada.
Puede haber otros problemas en el sitio web, dependiendo de si el atacante tiene intenciones, por lo que no entraré en detalles aquí. Si estás interesado, puedes echarle un vistazo a este artículo: "Análisis de riesgos de ChatGPT con implementación privada nacional".