多くの Web サイト管理者が次々と採用されましたが、彼らが立ち上げた chatGPT は自分たちではあまり使用されていないが、他の人によって頻繁に使用されており、1 日の API 料金が数ドルに達していることがわかりました。
その理由は、彼のウェブサイトが無料で多くの人に発見され、使用されたためです。
他の人はどのようにしてこのサイトを見つけたのでしょうか?
インターネット上にはいくつかの Web アセット検索エンジン(「サイバースペースマッピング」と呼ぶ人もいます)があり、タイトル情報、ドメイン名情報、IP 情報、ポートおよびプロトコル情報、ヘッダー情報、HTML テキスト情報、バナー情報、都市情報を指定することで、情報、証明書情報などを使用して、特定のタイトルの Web ページの検索、インターネット上の特定のソフトウェアの展開の検索、ネットワーク全体の脆弱性のスキャンなど、インターネット上の情報資産を非常に便利に検索できます。 。
オープンソース ソフトウェアを使用して chatGPT Web サイトを構築しますか?他人があなたのお金を使うことに注意してください!
作者: 魏建凡
OpenAI が GPT API を提供したため、多くの学生がオープンソース ソフトウェアを使用して独自の chatGPT Web サイトを構築しました。
このオープンソース ソフトウェアは chatGPT-web で、URL は次のとおりです。
ビルド後のインターフェースは次のようになります。
ただし、このソフトウェアをデフォルトで使用すると、注意しないと(設定方法がわからないという意味で)、他の人に無料でスキャンされて使用されてしまいます。
多くの Web サイト管理者が次々と採用されましたが、彼らが立ち上げた chatGPT は自分たちではあまり使用されていないが、他の人によって頻繁に使用されており、1 日の API 料金が数ドルに達していることがわかりました。
その理由は、彼のウェブサイトが無料で多くの人に発見され、使用されたためです。
他の人はどのようにしてこのサイトを見つけたのでしょうか?
インターネット上にはいくつかの Web アセット検索エンジン(「サイバースペースマッピング」と呼ぶ人もいます)があり、タイトル情報、ドメイン名情報、IP 情報、ポートおよびプロトコル情報、ヘッダー情報、HTML テキスト情報、バナー情報、都市情報を指定することで、情報、証明書情報などを使用して、特定のタイトルの Web ページの検索、インターネット上の特定のソフトウェアの展開の検索、ネットワーク全体の脆弱性のスキャンなど、インターネット上の情報資産を非常に便利に検索できます。 。
これらのエンジンの中で最もよく知られているのは FOFA と shodan です。
これらの検索エンジンを使用すると、インターネットに関連するほぼすべての資産を見つけることができます。これらの検索エンジンは、インターネット上のさまざまなサーバー、ルーター、スマート デバイス、カメラ、プリンターなどをほぼ常に検索しているため、ユーザーが検索すると、検索結果をすぐに返すことができます。
本当に怖いのは、インターネット上の多くの Web サイトやデバイスにはセキュリティ保護対策が施されていないため、他人が検索して簡単に侵入できることです。
chatGPT-web はオープン ソース ソフトウェアであり、フロント ページのデフォルトのタイトルは次のとおりです: ChatGPT Web
次に、アセット検索エンジンで、ChatGPT Web というタイトルの Web サイトを検索すると、このオープン ソース プロジェクトを使用している Web サイトが見つかります。
20,000 を超えるそのような Web サイトが 1 秒強で検索されたことがわかります。
これらの Web サイトにパスワード保護がない場合 (設定しない限り、デフォルトでは保護されていません)、スキャナーは無料で chatGPT を直接使用できます。
防ぐ方法
実際、この問題は chatGPT-web の README で説明されていますが、多くのユーザーは、これらのセキュリティに関する指示を注意深く読まずに、Web サイトを機能させる方法に全エネルギーを費やしています。
本気で使えばまだ変える時間はあるし、やっぱり負けも少なくて済みます。
フロントエンドのindex.htmlファイルで、タイトルを別の名前に変更します。ChatGPTという単語を含めないでください。
構成ファイルで AUTH_SECRET_KEY を設定し、Web ページへのアクセス パスワードを追加します。
バックエンドを自分で構築する場合は、サービス ディレクトリの .env ファイルに AUTH_SECRET_KEY を設定します。
Docker Compose を使用する場合は、docker-compose ディレクトリ内の docker-compose.yml ファイルに設定します。
パスワード認証を追加すると、Web ページは次のようになります。
これははるかに優れており、少なくとも多数の一般的な試みを阻止できます。
## 結論
したがって、Web サイト管理者は、他の人に自分のことを見つけられないと思っていても、実際にはすでに他の人に発見され、利用されているという、最も基本的なセキュリティ意識を持たなければなりません。
ソフトウェア開発者は、ユーザーが設定するのを待つのではなく、プログラムが自動的に異なるタイトルを生成したり、デフォルトのパスワードを自動的に生成したりできるようにするなど、ソフトウェアのデフォルトのインストールを安全にする方法を検討する必要があります。
「私はオープンソースです。私にはそのような義務はありません。それを使用するかどうかはあなた自身の仕事です。しかし、うまくやれば、あなたの評判は非常に良くなります。」と言うこともできます。
ユーザーは愚かなインストールを行うことが多いため、何も変更しようとはしません。
攻撃者に意図があるかどうかによっては、Web サイトに他の問題が発生する可能性もありますので、ここでは詳しく説明しません。ご興味がございましたら、「国内民間導入を使用した ChatGPT のリスク分析」の記事をご覧ください。