Jika Anda menggunakan perangkat lunak chatGPT-web secara default, itu akan dipindai oleh orang-orang secara tidak sengaja, dan itu akan digunakan secara gratis.
Ditulis oleh: Wei Jianfan
Sejak OpenAI menyediakan API GPT, banyak siswa menggunakan perangkat lunak sumber terbuka untuk membangun situs web chatGPT mereka sendiri.
Perangkat lunak open source ini adalah chatGPT-web, URL-nya adalah:
Setelah membangun, antarmuka mungkin akan terlihat seperti ini:
Namun, jika Anda menggunakan perangkat lunak ini secara default, jika Anda tidak hati-hati (artinya Anda tidak tahu cara menyetelnya), itu akan dipindai dan digunakan oleh orang lain secara gratis.
Banyak pengelola situs web telah direkrut satu demi satu, mereka menemukan bahwa chatGPT yang mereka buat sendiri tidak banyak digunakan, tetapi telah banyak digunakan oleh orang lain, dan biaya API harian telah mencapai beberapa dolar.
Pasalnya, website miliknya ditemukan dan digunakan oleh banyak orang secara gratis.
Bagaimana orang lain menemukan situs ini?
Ada beberapa mesin pencari aset web di Internet (beberapa orang menyebutnya "pemetaan dunia maya"). Dengan menentukan informasi judul, informasi nama domain, informasi IP, informasi port dan protokol, informasi header, informasi teks html, informasi spanduk, Kota informasi, informasi sertifikat, dll., dapat digunakan untuk mencari aset informasi di Internet dengan sangat mudah, seperti mencari halaman web dengan judul tertentu, mencari penerapan perangkat lunak tertentu di Internet, dan memindai seluruh jaringan untuk mencari kerentanan .
Yang paling terkenal dari mesin ini adalah FOFA dan shodan.
Dengan menggunakan mesin pencari ini, Anda dapat menemukan hampir semua aset yang berhubungan dengan Internet, karena mesin pencari ini mencari berbagai server, router, perangkat pintar, kamera, printer, dll. di Internet hampir sepanjang waktu, sehingga pengguna Ketika Anda pencarian, Anda dapat dengan cepat mengembalikan hasil pencarian.
Yang benar-benar menakutkan adalah banyak situs web atau perangkat di Internet tidak memiliki langkah-langkah perlindungan keamanan, sehingga orang lain dapat dengan mudah masuk setelah mencari.
chatGPT-web adalah perangkat lunak sumber terbuka, Judul default halaman depan adalah: Web ChatGPT
Kemudian di mesin pencarian aset, cari situs web yang judulnya Web ChatGPT, dan Anda dapat menemukan situs web yang menggunakan proyek open source ini.
Dapat dilihat bahwa lebih dari 20.000 situs semacam itu dicari hanya dalam waktu 1 detik.
Jika situs web ini tidak memiliki perlindungan kata sandi (defaultnya tidak, kecuali Anda mengaturnya), pemindai dapat langsung menggunakan chatGPT secara gratis.
Cara mencegah
Faktanya, masalah ini dijelaskan dalam README dari chatGPT-web, tetapi banyak pengguna yang berusaha keras untuk membuat situs web berfungsi, tanpa membaca petunjuk keamanan ini dengan cermat.
Jika Anda benar-benar menggunakannya, masih ada waktu untuk mengubahnya, lagipula Anda bisa kehilangan lebih sedikit dan lebih sedikit.
Di file front-end index.html, ubah judul menjadi sesuatu yang lain, dan kata ChatGPT tidak boleh disertakan.
Di file konfigurasi, atur AUTH_SECRET_KEY untuk menambahkan kata sandi akses ke halaman web.
Jika Anda membuat backend sendiri, setel AUTH_SECRET_KEY di file .env di direktori layanan.
Jika Anda menggunakan Docker Compose, atur di file docker-compose.yml di direktori docker-compose.
Setelah menambahkan verifikasi kata sandi, halaman web akan menjadi seperti ini:
Ini akan jauh lebih baik, setidaknya dapat memblokir banyak percobaan biasa.
Kesimpulan
Oleh karena itu, pengelola situs web harus memiliki kesadaran keamanan yang paling dasar, Anda mengira orang lain tidak dapat menemukan Anda, tetapi sebenarnya orang lain telah menemukan Anda dan menggunakan Anda.
Pengembang perangkat lunak harus mempertimbangkan cara membuat penginstalan default perangkat lunak aman, seperti mengizinkan program untuk secara otomatis menghasilkan Judul yang berbeda, secara otomatis menghasilkan kata sandi default, dll., alih-alih menunggu pengguna mengaturnya.
Anda dapat mengatakan, saya open source, saya tidak memiliki kewajiban seperti itu, apakah Anda menggunakannya atau tidak adalah urusan Anda sendiri, tetapi jika Anda melakukannya dengan baik, reputasi Anda akan sangat baik.
Karena pengguna seringkali merupakan instalasi yang bodoh, mereka tidak repot-repot mengubah apa pun.
Mungkin ada masalah lain di situs web, tergantung apakah penyerang memiliki niat, jadi saya tidak akan membahas detailnya di sini. Jika Anda tertarik, Anda dapat melihat artikel ini: "Analisis Risiko ChatGPT Menggunakan Penerapan Swasta Domestik".
Lihat Asli
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Bangun situs web chatGPT dengan perangkat lunak sumber terbuka? Waspadalah terhadap orang lain yang membelanjakan uang Anda!
Ditulis oleh: Wei Jianfan
Sejak OpenAI menyediakan API GPT, banyak siswa menggunakan perangkat lunak sumber terbuka untuk membangun situs web chatGPT mereka sendiri.
Perangkat lunak open source ini adalah chatGPT-web, URL-nya adalah:
Setelah membangun, antarmuka mungkin akan terlihat seperti ini:
Namun, jika Anda menggunakan perangkat lunak ini secara default, jika Anda tidak hati-hati (artinya Anda tidak tahu cara menyetelnya), itu akan dipindai dan digunakan oleh orang lain secara gratis.
Banyak pengelola situs web telah direkrut satu demi satu, mereka menemukan bahwa chatGPT yang mereka buat sendiri tidak banyak digunakan, tetapi telah banyak digunakan oleh orang lain, dan biaya API harian telah mencapai beberapa dolar.
Pasalnya, website miliknya ditemukan dan digunakan oleh banyak orang secara gratis.
Bagaimana orang lain menemukan situs ini?
Ada beberapa mesin pencari aset web di Internet (beberapa orang menyebutnya "pemetaan dunia maya"). Dengan menentukan informasi judul, informasi nama domain, informasi IP, informasi port dan protokol, informasi header, informasi teks html, informasi spanduk, Kota informasi, informasi sertifikat, dll., dapat digunakan untuk mencari aset informasi di Internet dengan sangat mudah, seperti mencari halaman web dengan judul tertentu, mencari penerapan perangkat lunak tertentu di Internet, dan memindai seluruh jaringan untuk mencari kerentanan .
Yang paling terkenal dari mesin ini adalah FOFA dan shodan.
Dengan menggunakan mesin pencari ini, Anda dapat menemukan hampir semua aset yang berhubungan dengan Internet, karena mesin pencari ini mencari berbagai server, router, perangkat pintar, kamera, printer, dll. di Internet hampir sepanjang waktu, sehingga pengguna Ketika Anda pencarian, Anda dapat dengan cepat mengembalikan hasil pencarian.
Yang benar-benar menakutkan adalah banyak situs web atau perangkat di Internet tidak memiliki langkah-langkah perlindungan keamanan, sehingga orang lain dapat dengan mudah masuk setelah mencari.
chatGPT-web adalah perangkat lunak sumber terbuka, Judul default halaman depan adalah: Web ChatGPT
Kemudian di mesin pencarian aset, cari situs web yang judulnya Web ChatGPT, dan Anda dapat menemukan situs web yang menggunakan proyek open source ini.
Dapat dilihat bahwa lebih dari 20.000 situs semacam itu dicari hanya dalam waktu 1 detik.
Jika situs web ini tidak memiliki perlindungan kata sandi (defaultnya tidak, kecuali Anda mengaturnya), pemindai dapat langsung menggunakan chatGPT secara gratis.
Cara mencegah
Faktanya, masalah ini dijelaskan dalam README dari chatGPT-web, tetapi banyak pengguna yang berusaha keras untuk membuat situs web berfungsi, tanpa membaca petunjuk keamanan ini dengan cermat.
Jika Anda benar-benar menggunakannya, masih ada waktu untuk mengubahnya, lagipula Anda bisa kehilangan lebih sedikit dan lebih sedikit.
Di file front-end index.html, ubah judul menjadi sesuatu yang lain, dan kata ChatGPT tidak boleh disertakan.
Di file konfigurasi, atur AUTH_SECRET_KEY untuk menambahkan kata sandi akses ke halaman web.
Jika Anda membuat backend sendiri, setel AUTH_SECRET_KEY di file .env di direktori layanan.
Jika Anda menggunakan Docker Compose, atur di file docker-compose.yml di direktori docker-compose.
Setelah menambahkan verifikasi kata sandi, halaman web akan menjadi seperti ini:
Ini akan jauh lebih baik, setidaknya dapat memblokir banyak percobaan biasa.
Kesimpulan
Oleh karena itu, pengelola situs web harus memiliki kesadaran keamanan yang paling dasar, Anda mengira orang lain tidak dapat menemukan Anda, tetapi sebenarnya orang lain telah menemukan Anda dan menggunakan Anda.
Pengembang perangkat lunak harus mempertimbangkan cara membuat penginstalan default perangkat lunak aman, seperti mengizinkan program untuk secara otomatis menghasilkan Judul yang berbeda, secara otomatis menghasilkan kata sandi default, dll., alih-alih menunggu pengguna mengaturnya.
Anda dapat mengatakan, saya open source, saya tidak memiliki kewajiban seperti itu, apakah Anda menggunakannya atau tidak adalah urusan Anda sendiri, tetapi jika Anda melakukannya dengan baik, reputasi Anda akan sangat baik.
Karena pengguna seringkali merupakan instalasi yang bodoh, mereka tidak repot-repot mengubah apa pun.
Mungkin ada masalah lain di situs web, tergantung apakah penyerang memiliki niat, jadi saya tidak akan membahas detailnya di sini. Jika Anda tertarik, Anda dapat melihat artikel ini: "Analisis Risiko ChatGPT Menggunakan Penerapan Swasta Domestik".