Если вы используете программное обеспечение chatGPT-web по умолчанию, оно будет случайно просканировано людьми и будет использоваться бесплатно.
Сценарист: Вэй Цзяньфань
Поскольку OpenAI предоставил GPT API, многие студенты использовали программное обеспечение с открытым исходным кодом для создания собственного веб-сайта chatGPT.
Это программное обеспечение с открытым исходным кодом — chatGPT-web, URL-адрес:
После сборки интерфейс, вероятно, будет выглядеть так:
Однако, если вы используете это программное обеспечение по умолчанию, если вы не будете осторожны (имеется в виду, что вы не знаете, как его установить), оно будет отсканировано и использовано другими бесплатно.
Многие сопровождающие веб-сайтов были наняты один за другим и обнаружили, что созданный ими chatGPT мало используется ими самими, но активно используется другими, а ежедневная плата за API достигает нескольких долларов.
Причина в том, что его веб-сайт был обнаружен и использовался многими людьми бесплатно.
Как другие люди узнают об этом сайте?
В Интернете есть несколько поисковых систем веб-ресурсов (некоторые люди называют их «отображением киберпространства»). Путем указания информации о заголовке, информации о доменном имени, информации об IP-адресе, информации о порте и протоколе, информации заголовка, текстовой информации html, информации баннера, города информацию, информацию о сертификатах и т. д. можно использовать для очень удобного поиска информационных активов в Интернете, таких как поиск веб-страниц с определенными заголовками, поиск развертывания определенного программного обеспечения в Интернете и сканирование всей сети на наличие уязвимостей. .
Наиболее известными из этих двигателей являются FOFA и shodan.
Используя эти поисковые системы, вы можете найти почти все активы, связанные с Интернетом, потому что эти поисковые системы почти все время ищут в Интернете различные серверы, маршрутизаторы, смарт-устройства, камеры, принтеры и т. д., так что пользователи, когда вы поиск, вы можете быстро вернуть результаты поиска.
Что действительно пугает, так это то, что многие веб-сайты или устройства в Интернете не имеют мер защиты, поэтому другие могут легко войти после поиска.
chatGPT-web — это программное обеспечение с открытым исходным кодом, заголовок главной страницы по умолчанию: ChatGPT Web.
Затем в системе поиска активов найдите веб-сайт с названием ChatGPT Web, и вы сможете найти веб-сайт, использующий этот проект с открытым исходным кодом.
Видно, что более 20 000 таких веб-сайтов были просмотрены чуть более чем за 1 секунду.
Если эти веб-сайты не защищены паролем (по умолчанию это не так, если вы не установите его), сканер может напрямую использовать chatGPT бесплатно.
Как предотвратить
На самом деле эта проблема описана в README chatGPT-web, но многие пользователи тратят всю свою энергию на то, как заставить сайт работать, не прочитав внимательно эти инструкции по безопасности.
Если вы действительно используете его, еще есть время его изменить, ведь вы можете меньше терять и терять меньше.
Во внешнем файле index.html измените заголовок на другой, а слово ChatGPT не должно быть включено.
В файле конфигурации установите AUTH_SECRET_KEY, чтобы добавить пароль доступа к веб-странице.
Если вы создаете серверную часть самостоятельно, установите AUTH_SECRET_KEY в файле .env в каталоге службы.
Если вы используете Docker Compose, установите его в файле docker-compose.yml в каталоге docker-compose.
После добавления проверки пароля веб-страница станет такой:
Это будет намного лучше, по крайней мере, это может заблокировать большое количество обычных пытающихся.
Заключение
Поэтому у сопровождающих веб-сайтов должны быть самые элементарные знания о безопасности.Вы думаете, что другие не могут вас найти, но на самом деле другие уже обнаружили вас и использовали вас.
Разработчики программного обеспечения должны подумать о том, как сделать установку программного обеспечения по умолчанию безопасной, например, разрешить программе автоматически генерировать различные заголовки, автоматически генерировать пароли по умолчанию и т. д. вместо того, чтобы ждать, пока пользователи установят их.
Вы можете сказать, что я с открытым исходным кодом, у меня нет таких обязательств, используете вы его или нет, это ваше личное дело, но если вы делаете хорошо, ваша репутация будет очень хорошей.
Поскольку пользователи часто ведут себя как дураки, они не удосуживаются что-либо изменить.
На сайте могут быть и другие проблемы, в зависимости от того, есть ли у злоумышленника намерения, поэтому я не буду здесь вдаваться в подробности. Если вам интересно, вы можете взглянуть на эту статью: «Анализ рисков ChatGPT с использованием внутреннего частного развертывания».
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Создать сайт chatGPT с открытым исходным кодом? Остерегайтесь других, которые тратят ваши деньги!
Сценарист: Вэй Цзяньфань
Поскольку OpenAI предоставил GPT API, многие студенты использовали программное обеспечение с открытым исходным кодом для создания собственного веб-сайта chatGPT.
Это программное обеспечение с открытым исходным кодом — chatGPT-web, URL-адрес:
После сборки интерфейс, вероятно, будет выглядеть так:
Однако, если вы используете это программное обеспечение по умолчанию, если вы не будете осторожны (имеется в виду, что вы не знаете, как его установить), оно будет отсканировано и использовано другими бесплатно.
Многие сопровождающие веб-сайтов были наняты один за другим и обнаружили, что созданный ими chatGPT мало используется ими самими, но активно используется другими, а ежедневная плата за API достигает нескольких долларов.
Причина в том, что его веб-сайт был обнаружен и использовался многими людьми бесплатно.
Как другие люди узнают об этом сайте?
В Интернете есть несколько поисковых систем веб-ресурсов (некоторые люди называют их «отображением киберпространства»). Путем указания информации о заголовке, информации о доменном имени, информации об IP-адресе, информации о порте и протоколе, информации заголовка, текстовой информации html, информации баннера, города информацию, информацию о сертификатах и т. д. можно использовать для очень удобного поиска информационных активов в Интернете, таких как поиск веб-страниц с определенными заголовками, поиск развертывания определенного программного обеспечения в Интернете и сканирование всей сети на наличие уязвимостей. .
Наиболее известными из этих двигателей являются FOFA и shodan.
Используя эти поисковые системы, вы можете найти почти все активы, связанные с Интернетом, потому что эти поисковые системы почти все время ищут в Интернете различные серверы, маршрутизаторы, смарт-устройства, камеры, принтеры и т. д., так что пользователи, когда вы поиск, вы можете быстро вернуть результаты поиска.
Что действительно пугает, так это то, что многие веб-сайты или устройства в Интернете не имеют мер защиты, поэтому другие могут легко войти после поиска.
chatGPT-web — это программное обеспечение с открытым исходным кодом, заголовок главной страницы по умолчанию: ChatGPT Web.
Затем в системе поиска активов найдите веб-сайт с названием ChatGPT Web, и вы сможете найти веб-сайт, использующий этот проект с открытым исходным кодом.
Видно, что более 20 000 таких веб-сайтов были просмотрены чуть более чем за 1 секунду.
Если эти веб-сайты не защищены паролем (по умолчанию это не так, если вы не установите его), сканер может напрямую использовать chatGPT бесплатно.
Как предотвратить
На самом деле эта проблема описана в README chatGPT-web, но многие пользователи тратят всю свою энергию на то, как заставить сайт работать, не прочитав внимательно эти инструкции по безопасности.
Если вы действительно используете его, еще есть время его изменить, ведь вы можете меньше терять и терять меньше.
Во внешнем файле index.html измените заголовок на другой, а слово ChatGPT не должно быть включено.
В файле конфигурации установите AUTH_SECRET_KEY, чтобы добавить пароль доступа к веб-странице.
Если вы создаете серверную часть самостоятельно, установите AUTH_SECRET_KEY в файле .env в каталоге службы.
Если вы используете Docker Compose, установите его в файле docker-compose.yml в каталоге docker-compose.
После добавления проверки пароля веб-страница станет такой:
Это будет намного лучше, по крайней мере, это может заблокировать большое количество обычных пытающихся.
Заключение
Поэтому у сопровождающих веб-сайтов должны быть самые элементарные знания о безопасности.Вы думаете, что другие не могут вас найти, но на самом деле другие уже обнаружили вас и использовали вас.
Разработчики программного обеспечения должны подумать о том, как сделать установку программного обеспечения по умолчанию безопасной, например, разрешить программе автоматически генерировать различные заголовки, автоматически генерировать пароли по умолчанию и т. д. вместо того, чтобы ждать, пока пользователи установят их.
Вы можете сказать, что я с открытым исходным кодом, у меня нет таких обязательств, используете вы его или нет, это ваше личное дело, но если вы делаете хорошо, ваша репутация будет очень хорошей.
Поскольку пользователи часто ведут себя как дураки, они не удосуживаются что-либо изменить.
На сайте могут быть и другие проблемы, в зависимости от того, есть ли у злоумышленника намерения, поэтому я не буду здесь вдаваться в подробности. Если вам интересно, вы можете взглянуть на эту статью: «Анализ рисков ChatGPT с использованием внутреннего частного развертывания».