ドイツのセキュリティ研究者Benjamin Fleschが、2025年1月中旬、OpenAIのChatGPTクローラーに重大な脆弱性を発見した。

この脆弱性の主な内容は以下の2点である

1. DDoS攻撃の可能性

– ChatGPT APIの単一のHTTPリクエストで、標的ウェブサイトに対して毎秒20〜5,000以上のリクエストを生成できる
– 攻撃は認証なしで実行可能
– Cloudflareを経由して約20の異なるIPアドレスから同時にアクセスする

2. プロンプトインジェクションの脆弱性

– クローラーが本来の目的以外の質問に回答してしまう問題
– ウェブサイトの情報取得だけを目的としたはずのクローラーが、質問応答機能を持ってしまっている

from:OpenAI’s ChatGPT crawler can be tricked into DDoSing sites, answering your queries

【編集部解説】

ChatGPTのクローラー機能に発見された脆弱性は、深刻な問題をはらんでいます。この問題の本質は、単なるDDoS攻撃の可能性だけではありません。AIシステムの設計における根本的な課題を浮き彫りにしているのです。

技術的な詳細と影響範囲

この脆弱性が特に注目すべき点は、たった1回のAPIリクエストで最大5,000回もの接続要求を生成できることです。しかも、認証すら必要としないという驚くべき設計になっています。

Cloudflareのプロキシサービスを経由することで、約20の異なるIPアドレスから同時にアクセスが行われ、通常のファイアウォール対策では防ぎきれない攻撃となっています。

AIエージェントの設計における課題

特筆すべきは、この問題がOpenAIの「AIエージェント」の実験的な実装である可能性を示唆している点です。従来のウェブクローラーであれば、基本的なセキュリティ対策として同一ドメインへのリクエスト制限を実装するはずです。

プロンプトインジェクションの新たな脅威

さらに深刻なのは、このクローラーがプロンプトインジェクション攻撃にも脆弱だという点です。NISIの報告によると、これは単なる実装の問題ではなく、AIシステムの本質的な脆弱性である可能性が指摘されています。

業界への影響と今後の展望

この発見は、AI業界全体にとって重要な警鐘となっています。特に注目すべきは以下の点です

1. AIシステムの自律性と安全性のバランスをどう取るか
2. 従来のセキュリティ対策がAIシステムに対して十分に機能するのか
3. AIエージェントの開発における安全性の確保方法

対策と今後の課題

現在のところ、OpenAIからの正式な対応はありません。しかし、この問題は単にパッチを当てれば解決するという性質のものではないかもしれません。AIシステムの設計思想そのものを見直す必要性を示唆しています。

特に、AIエージェントの自律性と安全性のバランスをどのように取るかという根本的な課題に、業界全体として向き合う必要があるでしょう。

まとめ

現時点では、この脆弱性に対する直接的な対策は限られています。しかし、ウェブサイト運営者の方々は、CloudflareなどのDDoS保護サービスの利用を検討することをお勧めします。

また、AIシステムを利用する際は、その出力を無条件に信頼するのではなく、適切な検証プロセスを設けることが重要です。

【用語解説】

• DDoS攻撃（分散型サービス妨害攻撃）
  多数のコンピュータから一斉にサーバーに接続し、過負荷を起こして機能を停止させる攻撃
• プロンプトインジェクション
  AIモデルに不正な指示を送り込み、意図しない動作をさせる攻撃手法

【参考リンク】

1. OpenAI公式サイト（外部）
   ChatGPTを開発する人工知能研究企業。最新のAI技術と研究成果を公開
2. Microsoft Azure（外部）
   マイクロソフトが提供するクラウドプラットフォーム。OpenAIのサービスの基盤
3. Cloudflare（外部）
   世界的なDDoS対策とコンテンツ配信サービスを提供する企業

参考動画

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む