Якщо ви використовуєте програмне забезпечення chatGPT-web за замовчуванням, його випадково скануватимуть люди, і воно використовуватиметься безкоштовно.
Автор: Вей Цзяньфань
Оскільки OpenAI надав GPT API, багато студентів використовували програмне забезпечення з відкритим кодом для створення власного веб-сайту chatGPT.
Це програмне забезпечення з відкритим кодом – chatGPT-web, URL-адреса:
Після створення інтерфейс, ймовірно, виглядатиме так:
Однак, якщо ви використовуєте це програмне забезпечення за замовчуванням, якщо ви не будете обережні (це означає, що ви не знаєте, як його налаштувати), воно буде скановано та використано іншими безкоштовно.
Багато розробників веб-сайтів були набрані один за одним. Вони виявили, що chatGPT, який вони налаштували, мало використовувався ними, але активно використовувався іншими, а щоденна плата за API досягла кількох доларів.
Причина в тому, що його сайт був відкритий і використовувався багатьма людьми безкоштовно.
Як інші люди дізнаються про цей сайт?
В Інтернеті є кілька пошукових систем веб-активів (дехто їх називає «відображенням кіберпростору»). Вказавши інформацію про заголовок, інформацію про доменне ім’я, інформацію про IP, інформацію про порт і протокол, інформацію про заголовок, інформацію про текст html, інформацію про банер, місто інформацію, інформацію про сертифікати тощо можна використовувати для дуже зручного пошуку інформаційних активів в Інтернеті, наприклад для пошуку веб-сторінок із певними назвами, пошуку розгортання певного програмного забезпечення в Інтернеті та сканування всієї мережі на наявність вразливостей .
Найвідомішими з цих двигунів є FOFA і шодан.
За допомогою цих пошукових систем ви можете знайти майже всі активи, пов’язані з Інтернетом, оскільки ці пошукові системи майже весь час шукають різноманітні сервери, маршрутизатори, розумні пристрої, камери, принтери тощо в Інтернеті, тому користувачі, коли ви пошук, ви можете швидко повернути результати пошуку.
Що дійсно страшно, так це те, що багато веб-сайтів або пристроїв в Інтернеті не мають заходів безпеки, тому інші можуть легко зайти після пошуку.
chatGPT-web — це програмне забезпечення з відкритим вихідним кодом, типова назва першої сторінки: ChatGPT Web
Потім у системі пошуку активів знайдіть веб-сайт із назвою ChatGPT Web, і ви знайдете веб-сайт, який використовує цей проект із відкритим кодом.
Можна побачити, що понад 20 000 таких веб-сайтів було знайдено трохи більше ніж за 1 секунду.
Якщо ці веб-сайти не мають захисту паролем (за замовчуванням немає, якщо ви його не встановили), сканер може безпосередньо використовувати chatGPT безкоштовно.
Як запобігти
Насправді ця проблема пояснюється в файлі README chatGPT-web, але багато користувачів спрямовують усі сили на те, щоб змусити веб-сайт працювати, не уважно читаючи ці інструкції з безпеки.
Якщо ви справді ним користуєтеся, ще є час це змінити, адже ви можете втратити менше і втратити менше.
У зовнішньому файлі index.html змініть назву на щось інше, і слово ChatGPT не повинно бути включено.
У файлі конфігурації встановіть AUTH_SECRET_KEY, щоб додати пароль доступу до веб-сторінки.
Якщо ви створюєте бекенд самостійно, установіть AUTH_SECRET_KEY у файлі .env у каталозі служби.
Якщо ви використовуєте Docker Compose, установіть його у файлі docker-compose.yml у каталозі docker-compose.
Після додавання підтвердження пароля веб-сторінка буде виглядати так:
Це буде набагато краще, принаймні, можна заблокувати велику кількість звичайних спробувальників.
Висновок
Тому розробники веб-сайтів повинні мати елементарну інформацію про безпеку. Ви думаєте, що інші не можуть вас знайти, але насправді інші вже виявили вас і використали.
Розробникам програмного забезпечення слід розглянути, як зробити інсталяцію програмного забезпечення за замовчуванням безпечною, наприклад дозволити програмі автоматично генерувати різні заголовки, автоматично генерувати паролі за замовчуванням тощо, замість того, щоб чекати, поки користувач встановить їх.
Ви можете сказати, що я користуюся відкритим кодом, у мене немає таких зобов’язань, користуватиметеся ви ним чи ні – це ваша особиста справа, але якщо ви будете працювати добре, ваша репутація буде дуже хорошою.
Оскільки користувачі часто встановлюються як дурні, вони не намагаються нічого змінити.
На веб-сайті можуть бути й інші проблеми, залежно від намірів зловмисника, тому я не буду вдаватися в подробиці. Якщо вам цікаво, ви можете переглянути цю статтю: «Аналіз ризиків ChatGPT за допомогою внутрішнього приватного розгортання».
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Створити веб-сайт chatGPT з відкритим кодом? Стережіться, щоб інші не витрачали ваші гроші!
Автор: Вей Цзяньфань
Оскільки OpenAI надав GPT API, багато студентів використовували програмне забезпечення з відкритим кодом для створення власного веб-сайту chatGPT.
Це програмне забезпечення з відкритим кодом – chatGPT-web, URL-адреса:
Після створення інтерфейс, ймовірно, виглядатиме так:
Однак, якщо ви використовуєте це програмне забезпечення за замовчуванням, якщо ви не будете обережні (це означає, що ви не знаєте, як його налаштувати), воно буде скановано та використано іншими безкоштовно.
Багато розробників веб-сайтів були набрані один за одним. Вони виявили, що chatGPT, який вони налаштували, мало використовувався ними, але активно використовувався іншими, а щоденна плата за API досягла кількох доларів.
Причина в тому, що його сайт був відкритий і використовувався багатьма людьми безкоштовно.
Як інші люди дізнаються про цей сайт?
В Інтернеті є кілька пошукових систем веб-активів (дехто їх називає «відображенням кіберпростору»). Вказавши інформацію про заголовок, інформацію про доменне ім’я, інформацію про IP, інформацію про порт і протокол, інформацію про заголовок, інформацію про текст html, інформацію про банер, місто інформацію, інформацію про сертифікати тощо можна використовувати для дуже зручного пошуку інформаційних активів в Інтернеті, наприклад для пошуку веб-сторінок із певними назвами, пошуку розгортання певного програмного забезпечення в Інтернеті та сканування всієї мережі на наявність вразливостей .
Найвідомішими з цих двигунів є FOFA і шодан.
За допомогою цих пошукових систем ви можете знайти майже всі активи, пов’язані з Інтернетом, оскільки ці пошукові системи майже весь час шукають різноманітні сервери, маршрутизатори, розумні пристрої, камери, принтери тощо в Інтернеті, тому користувачі, коли ви пошук, ви можете швидко повернути результати пошуку.
Що дійсно страшно, так це те, що багато веб-сайтів або пристроїв в Інтернеті не мають заходів безпеки, тому інші можуть легко зайти після пошуку.
chatGPT-web — це програмне забезпечення з відкритим вихідним кодом, типова назва першої сторінки: ChatGPT Web
Потім у системі пошуку активів знайдіть веб-сайт із назвою ChatGPT Web, і ви знайдете веб-сайт, який використовує цей проект із відкритим кодом.
Можна побачити, що понад 20 000 таких веб-сайтів було знайдено трохи більше ніж за 1 секунду.
Якщо ці веб-сайти не мають захисту паролем (за замовчуванням немає, якщо ви його не встановили), сканер може безпосередньо використовувати chatGPT безкоштовно.
Як запобігти
Насправді ця проблема пояснюється в файлі README chatGPT-web, але багато користувачів спрямовують усі сили на те, щоб змусити веб-сайт працювати, не уважно читаючи ці інструкції з безпеки.
Якщо ви справді ним користуєтеся, ще є час це змінити, адже ви можете втратити менше і втратити менше.
У зовнішньому файлі index.html змініть назву на щось інше, і слово ChatGPT не повинно бути включено.
У файлі конфігурації встановіть AUTH_SECRET_KEY, щоб додати пароль доступу до веб-сторінки.
Якщо ви створюєте бекенд самостійно, установіть AUTH_SECRET_KEY у файлі .env у каталозі служби.
Якщо ви використовуєте Docker Compose, установіть його у файлі docker-compose.yml у каталозі docker-compose.
Після додавання підтвердження пароля веб-сторінка буде виглядати так:
Це буде набагато краще, принаймні, можна заблокувати велику кількість звичайних спробувальників.
Висновок
Тому розробники веб-сайтів повинні мати елементарну інформацію про безпеку. Ви думаєте, що інші не можуть вас знайти, але насправді інші вже виявили вас і використали.
Розробникам програмного забезпечення слід розглянути, як зробити інсталяцію програмного забезпечення за замовчуванням безпечною, наприклад дозволити програмі автоматично генерувати різні заголовки, автоматично генерувати паролі за замовчуванням тощо, замість того, щоб чекати, поки користувач встановить їх.
Ви можете сказати, що я користуюся відкритим кодом, у мене немає таких зобов’язань, користуватиметеся ви ним чи ні – це ваша особиста справа, але якщо ви будете працювати добре, ваша репутація буде дуже хорошою.
Оскільки користувачі часто встановлюються як дурні, вони не намагаються нічого змінити.
На веб-сайті можуть бути й інші проблеми, залежно від намірів зловмисника, тому я не буду вдаватися в подробиці. Якщо вам цікаво, ви можете переглянути цю статтю: «Аналіз ризиків ChatGPT за допомогою внутрішнього приватного розгортання».