Si vous utilisez le logiciel chatGPT-web par défaut, il sera scanné par des personnes accidentellement, et il sera utilisé gratuitement.
Écrit par : Wei Jianfan
Depuis qu'OpenAI a fourni l'API GPT, de nombreux étudiants ont utilisé un logiciel open source pour créer leur propre site Web chatGPT.
Ce logiciel open source est chatGPT-web, l'URL est :
Après la construction, l'interface ressemblera probablement à ceci :
Cependant, si vous utilisez ce logiciel par défaut, si vous ne faites pas attention (c'est-à-dire que vous ne savez pas comment le configurer), il sera scanné et utilisé par d'autres gratuitement.
De nombreux mainteneurs de sites Web ont été recrutés les uns après les autres.Ils ont constaté que le chatGPT qu'ils ont mis en place n'était pas beaucoup utilisé par eux-mêmes, mais a été fortement utilisé par d'autres, et les frais quotidiens de l'API ont atteint plusieurs dollars.
La raison en est que son site Web a été découvert et utilisé gratuitement par de nombreuses personnes.
Comment les autres personnes découvrent-elles ce site ?
Il existe certains moteurs de recherche d'actifs Web sur Internet (certains les appellent "cartographie du cyberespace"). En spécifiant les informations sur le titre, les informations sur le nom de domaine, les informations IP, les informations sur le port et le protocole, les informations d'en-tête, les informations de texte html, les informations sur la bannière, la ville des informations, des informations de certificat, etc., peuvent être utilisées pour rechercher très facilement des informations sur Internet, telles que la recherche de pages Web avec des titres spécifiques, la recherche du déploiement d'un certain logiciel sur Internet et l'analyse de l'ensemble du réseau à la recherche de vulnérabilités .
Les plus connus de ces moteurs sont FOFA et shodan.
En utilisant ces moteurs de recherche, vous pouvez trouver presque tous les actifs liés à Internet, car ces moteurs de recherche recherchent presque tout le temps divers serveurs, routeurs, appareils intelligents, appareils photo, imprimantes, etc. sur Internet, de sorte que les utilisateurs Lorsque vous recherche, vous pouvez rapidement renvoyer les résultats de la recherche.
Ce qui est vraiment effrayant, c'est que de nombreux sites Web ou appareils sur Internet n'ont pas de mesures de protection de sécurité, de sorte que d'autres peuvent facilement entrer après la recherche.
chatGPT-web est un logiciel open source, le titre par défaut de la page d'accueil est : ChatGPT Web
Ensuite, dans le moteur de recherche d'actifs, recherchez le site Web dont le titre est ChatGPT Web, et vous pouvez trouver le site Web qui utilise ce projet open source.
On peut voir que plus de 20 000 sites Web de ce type ont été recherchés en un peu plus d'une seconde.
Si ces sites Web n'ont pas de protection par mot de passe (la valeur par défaut n'est pas, sauf si vous la définissez), le scanner peut directement utiliser chatGPT gratuitement.
Comment empêcher
En fait, ce problème est expliqué dans le README de chatGPT-web, mais de nombreux utilisateurs mettent toute leur énergie à faire fonctionner le site, sans lire attentivement ces consignes de sécurité.
Si vous l'utilisez vraiment, il est encore temps de le changer, après tout, vous pouvez perdre moins et perdre moins.
Dans le fichier front-end index.html, remplacez le titre par autre chose et le mot ChatGPT ne doit pas être inclus.
Dans le fichier de configuration, définissez AUTH_SECRET_KEY pour ajouter un mot de passe d'accès à la page Web.
Si vous créez vous-même le backend, définissez AUTH_SECRET_KEY dans le fichier .env du répertoire de service.
Si vous utilisez Docker Compose, définissez-le dans le fichier docker-compose.yml du répertoire docker-compose.
Après avoir ajouté la vérification du mot de passe, la page Web ressemblera à ceci :
Ce sera bien mieux, au moins cela pourra bloquer un grand nombre de tentatives ordinaires.
Conclusion
Par conséquent, les mainteneurs de sites Web doivent avoir les connaissances de base en matière de sécurité.Vous pensez que les autres ne peuvent pas vous trouver, mais en fait, d'autres vous ont déjà découvert et utilisé.
Les développeurs de logiciels doivent réfléchir à la manière de sécuriser l'installation par défaut du logiciel, par exemple en permettant au programme de générer automatiquement différents titres, de générer automatiquement des mots de passe par défaut, etc., au lieu d'attendre que les utilisateurs les définissent.
Vous pouvez dire, je suis open source, je n'ai pas une telle obligation, que vous l'utilisiez ou non, c'est votre propre affaire, mais si vous vous débrouillez bien, votre réputation sera très bonne.
Parce que les utilisateurs sont souvent des installations idiotes, ils ne prennent pas la peine de changer quoi que ce soit.
Il peut y avoir d'autres problèmes sur le site Web, selon que l'attaquant a ou non des intentions, donc je n'entrerai pas dans les détails ici. Si cela vous intéresse, vous pouvez consulter cet article : "Analyse des risques de ChatGPT à l'aide d'un déploiement privé domestique".
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Construire un site Web chatGPT avec un logiciel open source ? Méfiez-vous des autres qui dépensent votre argent !
Écrit par : Wei Jianfan
Depuis qu'OpenAI a fourni l'API GPT, de nombreux étudiants ont utilisé un logiciel open source pour créer leur propre site Web chatGPT.
Ce logiciel open source est chatGPT-web, l'URL est :
Après la construction, l'interface ressemblera probablement à ceci :
Cependant, si vous utilisez ce logiciel par défaut, si vous ne faites pas attention (c'est-à-dire que vous ne savez pas comment le configurer), il sera scanné et utilisé par d'autres gratuitement.
De nombreux mainteneurs de sites Web ont été recrutés les uns après les autres.Ils ont constaté que le chatGPT qu'ils ont mis en place n'était pas beaucoup utilisé par eux-mêmes, mais a été fortement utilisé par d'autres, et les frais quotidiens de l'API ont atteint plusieurs dollars.
La raison en est que son site Web a été découvert et utilisé gratuitement par de nombreuses personnes.
Comment les autres personnes découvrent-elles ce site ?
Il existe certains moteurs de recherche d'actifs Web sur Internet (certains les appellent "cartographie du cyberespace"). En spécifiant les informations sur le titre, les informations sur le nom de domaine, les informations IP, les informations sur le port et le protocole, les informations d'en-tête, les informations de texte html, les informations sur la bannière, la ville des informations, des informations de certificat, etc., peuvent être utilisées pour rechercher très facilement des informations sur Internet, telles que la recherche de pages Web avec des titres spécifiques, la recherche du déploiement d'un certain logiciel sur Internet et l'analyse de l'ensemble du réseau à la recherche de vulnérabilités .
Les plus connus de ces moteurs sont FOFA et shodan.
En utilisant ces moteurs de recherche, vous pouvez trouver presque tous les actifs liés à Internet, car ces moteurs de recherche recherchent presque tout le temps divers serveurs, routeurs, appareils intelligents, appareils photo, imprimantes, etc. sur Internet, de sorte que les utilisateurs Lorsque vous recherche, vous pouvez rapidement renvoyer les résultats de la recherche.
Ce qui est vraiment effrayant, c'est que de nombreux sites Web ou appareils sur Internet n'ont pas de mesures de protection de sécurité, de sorte que d'autres peuvent facilement entrer après la recherche.
chatGPT-web est un logiciel open source, le titre par défaut de la page d'accueil est : ChatGPT Web
Ensuite, dans le moteur de recherche d'actifs, recherchez le site Web dont le titre est ChatGPT Web, et vous pouvez trouver le site Web qui utilise ce projet open source.
On peut voir que plus de 20 000 sites Web de ce type ont été recherchés en un peu plus d'une seconde.
Si ces sites Web n'ont pas de protection par mot de passe (la valeur par défaut n'est pas, sauf si vous la définissez), le scanner peut directement utiliser chatGPT gratuitement.
Comment empêcher
En fait, ce problème est expliqué dans le README de chatGPT-web, mais de nombreux utilisateurs mettent toute leur énergie à faire fonctionner le site, sans lire attentivement ces consignes de sécurité.
Si vous l'utilisez vraiment, il est encore temps de le changer, après tout, vous pouvez perdre moins et perdre moins.
Dans le fichier front-end index.html, remplacez le titre par autre chose et le mot ChatGPT ne doit pas être inclus.
Dans le fichier de configuration, définissez AUTH_SECRET_KEY pour ajouter un mot de passe d'accès à la page Web.
Si vous créez vous-même le backend, définissez AUTH_SECRET_KEY dans le fichier .env du répertoire de service.
Si vous utilisez Docker Compose, définissez-le dans le fichier docker-compose.yml du répertoire docker-compose.
Après avoir ajouté la vérification du mot de passe, la page Web ressemblera à ceci :
Ce sera bien mieux, au moins cela pourra bloquer un grand nombre de tentatives ordinaires.
Conclusion
Par conséquent, les mainteneurs de sites Web doivent avoir les connaissances de base en matière de sécurité.Vous pensez que les autres ne peuvent pas vous trouver, mais en fait, d'autres vous ont déjà découvert et utilisé.
Les développeurs de logiciels doivent réfléchir à la manière de sécuriser l'installation par défaut du logiciel, par exemple en permettant au programme de générer automatiquement différents titres, de générer automatiquement des mots de passe par défaut, etc., au lieu d'attendre que les utilisateurs les définissent.
Vous pouvez dire, je suis open source, je n'ai pas une telle obligation, que vous l'utilisiez ou non, c'est votre propre affaire, mais si vous vous débrouillez bien, votre réputation sera très bonne.
Parce que les utilisateurs sont souvent des installations idiotes, ils ne prennent pas la peine de changer quoi que ce soit.
Il peut y avoir d'autres problèmes sur le site Web, selon que l'attaquant a ou non des intentions, donc je n'entrerai pas dans les détails ici. Si cela vous intéresse, vous pouvez consulter cet article : "Analyse des risques de ChatGPT à l'aide d'un déploiement privé domestique".