Se você usar o software chatGPT-web por padrão, ele será verificado por pessoas acidentalmente e será usado gratuitamente.
Escrito por: Wei Jianfan
Como o OpenAI forneceu a API GPT, muitos alunos usaram um software de código aberto para criar seu próprio site chatGPT.
Este software de código aberto é chatGPT-web, o URL é:
Depois de construída, a interface provavelmente ficará assim:
No entanto, se você usar este software por padrão, se não for cuidadoso (o que significa que não sabe como configurá-lo), ele será verificado e usado por outras pessoas gratuitamente.
Muitos mantenedores de sites foram recrutados um após o outro. Eles descobriram que o chatGPT que eles criaram não foi muito usado por eles, mas foi muito usado por outros, e a taxa diária da API atingiu vários dólares.
A razão é que seu site foi descoberto e usado por muitas pessoas gratuitamente.
Como outras pessoas descobrem este site?
Existem alguns mecanismos de busca de recursos da Web na Internet (algumas pessoas os chamam de "mapeamento do ciberespaço"). Especificando as informações de título, informações de nome de domínio, informações de IP, informações de porta e protocolo, informações de cabeçalho, informações de texto html, informações de banner, cidade informações, informações de certificados, etc., podem ser usadas para pesquisar ativos de informações na Internet de maneira muito conveniente, como pesquisar páginas da Web com títulos específicos, pesquisar a implantação de um determinado software na Internet e verificar vulnerabilidades em toda a rede .
Os mais conhecidos desses motores são FOFA e shodan.
Usando esses mecanismos de pesquisa, você pode encontrar quase todos os ativos relacionados à Internet, porque esses mecanismos de pesquisa pesquisam vários servidores, roteadores, dispositivos inteligentes, câmeras, impressoras etc. na Internet quase o tempo todo, para que os usuários quando você pesquisa, você pode retornar rapidamente os resultados da pesquisa.
O que é realmente assustador é que muitos sites ou dispositivos na Internet não possuem medidas de proteção de segurança, para que outros possam entrar facilmente após a pesquisa.
chatGPT-web é um software de código aberto, o título padrão da página inicial é: ChatGPT Web
Em seguida, no mecanismo de pesquisa de ativos, procure o site cujo título é ChatGPT Web e você poderá encontrar o site que usa esse projeto de código aberto.
Pode-se ver que mais de 20.000 desses sites foram pesquisados em pouco mais de 1 segundo.
Se esses sites não tiverem proteção por senha (o padrão não é, a menos que você o defina), o scanner pode usar diretamente o chatGPT gratuitamente.
Como prevenir
Na verdade, esse problema é explicado no README do chatGPT-web, mas muitos usuários colocam toda a sua energia em como fazer o site funcionar, sem ler atentamente essas instruções de segurança.
Se você realmente usa, ainda dá tempo de trocar, afinal você pode perder menos e perder menos.
No arquivo front-end index.html, altere o título para outro, e a palavra ChatGPT não deve ser incluída.
No arquivo de configuração, defina AUTH_SECRET_KEY para adicionar uma senha de acesso à página da web.
Se você mesmo criar o backend, defina AUTH_SECRET_KEY no arquivo .env no diretório de serviço.
Se você usar o Docker Compose, defina-o no arquivo docker-compose.yml no diretório docker-compose.
Depois de adicionar a verificação de senha, a página da Web ficará assim:
Isso será muito melhor, pelo menos pode bloquear um grande número de tentativas comuns.
Conclusão
Portanto, os mantenedores de sites devem ter a consciência de segurança mais básica.Você acha que os outros não podem encontrá-lo, mas na verdade, outros já o descobriram e o usaram.
Os desenvolvedores de software devem considerar como tornar a instalação padrão do software segura, como permitir que o programa gere títulos diferentes automaticamente, gere senhas padrão automaticamente, etc., em vez de esperar que os usuários os definam.
Você pode dizer, sou open source, não tenho essa obrigação, se você usa ou não é problema seu, mas se você fizer bem, sua reputação será muito boa.
Como os usuários geralmente são instalações tolas, eles não se preocupam em mudar nada.
Pode haver outros problemas no site, dependendo se o invasor tem intenções, então não vou entrar em detalhes aqui. Se você estiver interessado, pode dar uma olhada neste artigo: "Análise de risco do ChatGPT usando implantação privada doméstica".
Ver original
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
Construir um site chatGPT com software de código aberto? Cuidado com os outros gastando seu dinheiro!
Escrito por: Wei Jianfan
Como o OpenAI forneceu a API GPT, muitos alunos usaram um software de código aberto para criar seu próprio site chatGPT.
Este software de código aberto é chatGPT-web, o URL é:
Depois de construída, a interface provavelmente ficará assim:
No entanto, se você usar este software por padrão, se não for cuidadoso (o que significa que não sabe como configurá-lo), ele será verificado e usado por outras pessoas gratuitamente.
Muitos mantenedores de sites foram recrutados um após o outro. Eles descobriram que o chatGPT que eles criaram não foi muito usado por eles, mas foi muito usado por outros, e a taxa diária da API atingiu vários dólares.
A razão é que seu site foi descoberto e usado por muitas pessoas gratuitamente.
Como outras pessoas descobrem este site?
Existem alguns mecanismos de busca de recursos da Web na Internet (algumas pessoas os chamam de "mapeamento do ciberespaço"). Especificando as informações de título, informações de nome de domínio, informações de IP, informações de porta e protocolo, informações de cabeçalho, informações de texto html, informações de banner, cidade informações, informações de certificados, etc., podem ser usadas para pesquisar ativos de informações na Internet de maneira muito conveniente, como pesquisar páginas da Web com títulos específicos, pesquisar a implantação de um determinado software na Internet e verificar vulnerabilidades em toda a rede .
Os mais conhecidos desses motores são FOFA e shodan.
Usando esses mecanismos de pesquisa, você pode encontrar quase todos os ativos relacionados à Internet, porque esses mecanismos de pesquisa pesquisam vários servidores, roteadores, dispositivos inteligentes, câmeras, impressoras etc. na Internet quase o tempo todo, para que os usuários quando você pesquisa, você pode retornar rapidamente os resultados da pesquisa.
O que é realmente assustador é que muitos sites ou dispositivos na Internet não possuem medidas de proteção de segurança, para que outros possam entrar facilmente após a pesquisa.
chatGPT-web é um software de código aberto, o título padrão da página inicial é: ChatGPT Web
Em seguida, no mecanismo de pesquisa de ativos, procure o site cujo título é ChatGPT Web e você poderá encontrar o site que usa esse projeto de código aberto.
Pode-se ver que mais de 20.000 desses sites foram pesquisados em pouco mais de 1 segundo.
Se esses sites não tiverem proteção por senha (o padrão não é, a menos que você o defina), o scanner pode usar diretamente o chatGPT gratuitamente.
Como prevenir
Na verdade, esse problema é explicado no README do chatGPT-web, mas muitos usuários colocam toda a sua energia em como fazer o site funcionar, sem ler atentamente essas instruções de segurança.
Se você realmente usa, ainda dá tempo de trocar, afinal você pode perder menos e perder menos.
No arquivo front-end index.html, altere o título para outro, e a palavra ChatGPT não deve ser incluída.
No arquivo de configuração, defina AUTH_SECRET_KEY para adicionar uma senha de acesso à página da web.
Se você mesmo criar o backend, defina AUTH_SECRET_KEY no arquivo .env no diretório de serviço.
Se você usar o Docker Compose, defina-o no arquivo docker-compose.yml no diretório docker-compose.
Depois de adicionar a verificação de senha, a página da Web ficará assim:
Isso será muito melhor, pelo menos pode bloquear um grande número de tentativas comuns.
Conclusão
Portanto, os mantenedores de sites devem ter a consciência de segurança mais básica.Você acha que os outros não podem encontrá-lo, mas na verdade, outros já o descobriram e o usaram.
Os desenvolvedores de software devem considerar como tornar a instalação padrão do software segura, como permitir que o programa gere títulos diferentes automaticamente, gere senhas padrão automaticamente, etc., em vez de esperar que os usuários os definam.
Você pode dizer, sou open source, não tenho essa obrigação, se você usa ou não é problema seu, mas se você fizer bem, sua reputação será muito boa.
Como os usuários geralmente são instalações tolas, eles não se preocupam em mudar nada.
Pode haver outros problemas no site, dependendo se o invasor tem intenções, então não vou entrar em detalhes aqui. Se você estiver interessado, pode dar uma olhada neste artigo: "Análise de risco do ChatGPT usando implantação privada doméstica".