Nếu bạn sử dụng phần mềm chatGPT-web mặc định sẽ bị người ta vô tình quét, và sẽ được sử dụng miễn phí.
Người viết: Ngụy Kiến Phàm
Kể từ khi OpenAI cung cấp API GPT, nhiều sinh viên đã sử dụng phần mềm mã nguồn mở để xây dựng trang web chatGPT của riêng họ.
Phần mềm nguồn mở này là chatGPT-web, URL là:
Sau khi xây dựng, giao diện có thể sẽ như thế này:
Tuy nhiên, nếu bạn sử dụng phần mềm này theo mặc định, nếu bạn không cẩn thận (nghĩa là bạn không biết cách đặt nó) thì nó sẽ bị người khác quét và sử dụng miễn phí.
Nhiều người duy trì trang web đã lần lượt được tuyển dụng, họ phát hiện ra rằng chatGPT do họ thiết lập không được bản thân sử dụng nhiều mà đã bị người khác sử dụng rất nhiều và phí API hàng ngày đã lên tới vài đô la.
Lý do là trang web của anh được nhiều người khám phá và sử dụng miễn phí.
Làm thế nào để những người khác khám phá trang web này?
Có một số công cụ tìm kiếm nội dung web trên Internet (một số người gọi chúng là "ánh xạ không gian mạng"). Bằng cách chỉ định thông tin tiêu đề, thông tin tên miền, thông tin IP, thông tin cổng và giao thức, thông tin tiêu đề, thông tin văn bản html, thông tin biểu ngữ, Thành phố thông tin, thông tin chứng chỉ, v.v., có thể được sử dụng để tìm kiếm tài sản thông tin trên Internet rất thuận tiện, chẳng hạn như tìm kiếm các trang web có tiêu đề cụ thể, tìm kiếm việc triển khai một phần mềm nhất định trên Internet và quét toàn bộ mạng để tìm lỗ hổng .
Nổi tiếng nhất trong số các động cơ này là FOFA và shodan.
Sử dụng các công cụ tìm kiếm này, bạn có thể tìm thấy hầu hết tất cả các nội dung liên quan đến Internet, bởi vì các công cụ tìm kiếm này đang tìm kiếm nhiều máy chủ, bộ định tuyến, thiết bị thông minh, máy ảnh, máy in, v.v. trên Internet hầu như mọi lúc, vì vậy người dùng Khi bạn tìm kiếm, bạn có thể nhanh chóng trả lại kết quả tìm kiếm.
Điều thực sự đáng sợ là nhiều trang web hoặc thiết bị trên Internet không có các biện pháp bảo vệ an ninh, vì vậy người khác có thể dễ dàng truy cập sau khi tìm kiếm.
chatGPT-web là một phần mềm mã nguồn mở, Tiêu đề mặc định của trang chủ là: ChatGPT Web
Sau đó, trong công cụ tìm kiếm nội dung, hãy tìm kiếm trang web có tiêu đề là ChatGPT Web và bạn có thể tìm thấy trang web sử dụng dự án mã nguồn mở này.
Có thể thấy hơn 20.000 trang web như vậy đã được tìm kiếm chỉ trong hơn 1 giây.
Nếu các trang web này không có mật khẩu bảo vệ (mặc định là không, trừ khi bạn đặt nó), trình quét có thể trực tiếp sử dụng chatGPT miễn phí.
Làm thế nào để ngăn chặn
Trên thực tế, vấn đề này được giải thích trong README của chatGPT-web, nhưng nhiều người dùng đã dồn hết tâm sức vào cách làm cho trang web hoạt động mà không đọc kỹ các hướng dẫn bảo mật này.
Nếu bạn thực sự sử dụng nó, vẫn còn thời gian để thay đổi nó, sau tất cả, bạn có thể mất ít hơn và mất ít hơn.
Trong tệp front-end index.html, hãy thay đổi tiêu đề thành một cái gì đó khác và không được bao gồm từ ChatGPT.
Trong tệp cấu hình, đặt AUTH_SECRET_KEY để thêm mật khẩu truy cập vào trang web.
Nếu bạn tự xây dựng chương trình phụ trợ, hãy đặt AUTH_SECRET_KEY trong tệp .env trong thư mục dịch vụ.
Nếu bạn sử dụng Docker Compose, hãy đặt nó trong tệp docker-compose.yml trong thư mục docker-compose.
Sau khi thêm xác minh mật khẩu, trang web sẽ trở thành như thế này:
Điều này sẽ tốt hơn nhiều, ít nhất nó có thể chặn một số lượng lớn những kẻ cố gắng bình thường.
Phần kết luận
Vì vậy, người bảo trì website phải có nhận thức cơ bản nhất về bảo mật, bạn nghĩ rằng người khác không thể tìm thấy bạn nhưng thực tế, người khác đã phát hiện ra bạn và lợi dụng bạn.
Các nhà phát triển phần mềm nên xem xét làm thế nào để cài đặt mặc định của phần mềm an toàn, chẳng hạn như cho phép chương trình tự động tạo các Tiêu đề khác nhau, tự động tạo mật khẩu mặc định, v.v., thay vì chờ người dùng đặt.
Bạn có thể nói, tôi là nguồn mở, tôi không có nghĩa vụ như vậy, bạn có sử dụng nó hay không là việc của riêng bạn, nhưng nếu bạn làm tốt, danh tiếng của bạn sẽ rất tốt.
Bởi vì người dùng thường cài đặt giống như một kẻ ngốc, họ không buồn thay đổi bất cứ điều gì.
Có thể có các vấn đề khác trên trang web, tùy thuộc vào việc kẻ tấn công có ý định hay không, vì vậy tôi sẽ không đi vào chi tiết ở đây. Nếu bạn quan tâm, bạn có thể xem bài viết này: "Phân tích rủi ro của ChatGPT bằng triển khai riêng trong nước".
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Xây dựng trang web chatGPT bằng phần mềm mã nguồn mở? Hãy coi chừng người khác tiêu tiền của bạn!
Người viết: Ngụy Kiến Phàm
Kể từ khi OpenAI cung cấp API GPT, nhiều sinh viên đã sử dụng phần mềm mã nguồn mở để xây dựng trang web chatGPT của riêng họ.
Phần mềm nguồn mở này là chatGPT-web, URL là:
Sau khi xây dựng, giao diện có thể sẽ như thế này:
Tuy nhiên, nếu bạn sử dụng phần mềm này theo mặc định, nếu bạn không cẩn thận (nghĩa là bạn không biết cách đặt nó) thì nó sẽ bị người khác quét và sử dụng miễn phí.
Nhiều người duy trì trang web đã lần lượt được tuyển dụng, họ phát hiện ra rằng chatGPT do họ thiết lập không được bản thân sử dụng nhiều mà đã bị người khác sử dụng rất nhiều và phí API hàng ngày đã lên tới vài đô la.
Lý do là trang web của anh được nhiều người khám phá và sử dụng miễn phí.
Làm thế nào để những người khác khám phá trang web này?
Có một số công cụ tìm kiếm nội dung web trên Internet (một số người gọi chúng là "ánh xạ không gian mạng"). Bằng cách chỉ định thông tin tiêu đề, thông tin tên miền, thông tin IP, thông tin cổng và giao thức, thông tin tiêu đề, thông tin văn bản html, thông tin biểu ngữ, Thành phố thông tin, thông tin chứng chỉ, v.v., có thể được sử dụng để tìm kiếm tài sản thông tin trên Internet rất thuận tiện, chẳng hạn như tìm kiếm các trang web có tiêu đề cụ thể, tìm kiếm việc triển khai một phần mềm nhất định trên Internet và quét toàn bộ mạng để tìm lỗ hổng .
Nổi tiếng nhất trong số các động cơ này là FOFA và shodan.
Sử dụng các công cụ tìm kiếm này, bạn có thể tìm thấy hầu hết tất cả các nội dung liên quan đến Internet, bởi vì các công cụ tìm kiếm này đang tìm kiếm nhiều máy chủ, bộ định tuyến, thiết bị thông minh, máy ảnh, máy in, v.v. trên Internet hầu như mọi lúc, vì vậy người dùng Khi bạn tìm kiếm, bạn có thể nhanh chóng trả lại kết quả tìm kiếm.
Điều thực sự đáng sợ là nhiều trang web hoặc thiết bị trên Internet không có các biện pháp bảo vệ an ninh, vì vậy người khác có thể dễ dàng truy cập sau khi tìm kiếm.
chatGPT-web là một phần mềm mã nguồn mở, Tiêu đề mặc định của trang chủ là: ChatGPT Web
Sau đó, trong công cụ tìm kiếm nội dung, hãy tìm kiếm trang web có tiêu đề là ChatGPT Web và bạn có thể tìm thấy trang web sử dụng dự án mã nguồn mở này.
Có thể thấy hơn 20.000 trang web như vậy đã được tìm kiếm chỉ trong hơn 1 giây.
Nếu các trang web này không có mật khẩu bảo vệ (mặc định là không, trừ khi bạn đặt nó), trình quét có thể trực tiếp sử dụng chatGPT miễn phí.
Làm thế nào để ngăn chặn
Trên thực tế, vấn đề này được giải thích trong README của chatGPT-web, nhưng nhiều người dùng đã dồn hết tâm sức vào cách làm cho trang web hoạt động mà không đọc kỹ các hướng dẫn bảo mật này.
Nếu bạn thực sự sử dụng nó, vẫn còn thời gian để thay đổi nó, sau tất cả, bạn có thể mất ít hơn và mất ít hơn.
Trong tệp front-end index.html, hãy thay đổi tiêu đề thành một cái gì đó khác và không được bao gồm từ ChatGPT.
Trong tệp cấu hình, đặt AUTH_SECRET_KEY để thêm mật khẩu truy cập vào trang web.
Nếu bạn tự xây dựng chương trình phụ trợ, hãy đặt AUTH_SECRET_KEY trong tệp .env trong thư mục dịch vụ.
Nếu bạn sử dụng Docker Compose, hãy đặt nó trong tệp docker-compose.yml trong thư mục docker-compose.
Sau khi thêm xác minh mật khẩu, trang web sẽ trở thành như thế này:
Điều này sẽ tốt hơn nhiều, ít nhất nó có thể chặn một số lượng lớn những kẻ cố gắng bình thường.
Phần kết luận
Vì vậy, người bảo trì website phải có nhận thức cơ bản nhất về bảo mật, bạn nghĩ rằng người khác không thể tìm thấy bạn nhưng thực tế, người khác đã phát hiện ra bạn và lợi dụng bạn.
Các nhà phát triển phần mềm nên xem xét làm thế nào để cài đặt mặc định của phần mềm an toàn, chẳng hạn như cho phép chương trình tự động tạo các Tiêu đề khác nhau, tự động tạo mật khẩu mặc định, v.v., thay vì chờ người dùng đặt.
Bạn có thể nói, tôi là nguồn mở, tôi không có nghĩa vụ như vậy, bạn có sử dụng nó hay không là việc của riêng bạn, nhưng nếu bạn làm tốt, danh tiếng của bạn sẽ rất tốt.
Bởi vì người dùng thường cài đặt giống như một kẻ ngốc, họ không buồn thay đổi bất cứ điều gì.
Có thể có các vấn đề khác trên trang web, tùy thuộc vào việc kẻ tấn công có ý định hay không, vì vậy tôi sẽ không đi vào chi tiết ở đây. Nếu bạn quan tâm, bạn có thể xem bài viết này: "Phân tích rủi ro của ChatGPT bằng triển khai riêng trong nước".