أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
- كشف باحث عن ثغرة أمنية خطيرة من نوع SSRF في ميزة "الإجراءات" المخصصة في ChatGPT، مما يعرض بياناتdentالسحابة الداخلية للخطر.
- سمحت الثغرة الأمنية بالوصول إلى خدمة بيانات تعريف مثيل Azure، مما قد يمنح المهاجمين سيطرة كاملة على بيئة OpenAI السحابية.
- أصدرت OpenAI نموذج GPT-5.1 مع تحسينات في تتبع التعليمات، والاستدلال التكيفي، وتحسينات النموذج الفورية، وخيارات تخصيص جديدة للمستخدمين.
أصلحت شركة OpenAI ثغرة أمنية في نموذج اللغة الضخم ChatGPT، اكتشفها باحث في وقت سابق من هذا الأسبوع، ضمن ميزة "الإجراءات" في نماذج GPT المخصصة. وادعى الباحث أن المهاجمين ربما استغلوا ثغرة تزوير طلبات من جانب الخادم (SSRF) لكشف بياناتdentداخلية في سحابة نموذج الذكاء الاصطناعي.
بصفته مهندس أمن مفتوح المصدر ومكتشف ثغرات، كان SirLeeroyJenkins يُنشئ أول نموذج GPT مخصص له، وشعر بوجود ثغرة أمنية من نوع SSRF. تُمكّن ميزة الإجراءات المستخدمين من defiواجهات برمجة تطبيقات خارجية باستخدام مخططات OpenAPI ليستخدمها الذكاء الاصطناعي في مهام محددة، مثل جلب بيانات الطقس.
أثناء اختبار واجهة برمجة التطبيقات الخاصة به، اكتشف SirLeeroyJenkins أن النظام يُعيد بيانات من عنوان URL يُدخله المستخدم. أثار هذا السلوك قلقه، فأجرى المزيد من الاختبارات، مُشتبهًا في وجود ثغرة أمنية محتملة من نوع SSRF.
قال: "بمجرد أن أدركت أن هذه الخاصية يمكنها إرجاع البيانات من أي عنوان URL يقدمه المستخدم، انطلقت غريزة القرصنة لدي. كان عليّ التحقق من وجود ثغرة SSRF."
قد تجعل ثغرة SSRF أنواع GPT المخصصة غير آمنة
كما أوضح جينكينز في مقالته على منصة Medium التي نُشرت مطلع هذا الأسبوع، فإنّ تزوير الطلبات من جانب الخادم هو ثغرة أمنية في الويب تُخدع التطبيقات لتُرسل طلبات إلى وجهات غير مقصودة. إذا لم يتحقق التطبيق بشكل صحيح من صحة عناوين URL التي يُدخلها المستخدم، يُمكن للمهاجمين استغلال صلاحيات الوصول إلى الخادم للوصول إلى الشبكات الداخلية أو خدمات البيانات الوصفية السحابية.
كانت ثغرة SSRF منتشرة بما يكفي لتدرج في قائمة OWASP Top 10 في عام 2021، وقد توسعت الآن في أضرارها المحتملة لأن التكوينات الافتراضية غير الآمنة في بيئات الحوسبة السحابية يمكن أن تعرض الأنظمة الحيوية للخطر.
أوضح جينكينز أن هناك نوعين رئيسيين من هجمات SSRF، وهما: هجمات القراءة الكاملة وهجمات SSRF العمياء. تعيد هجمات القراءة الكاملة البيانات من الخدمة المستهدفة مباشرةً إلى المهاجم. في المقابل، لا تكشف هجمات SSRF العمياء عن الاستجابة، لكنها تسمح للمهاجم بالتفاعل مع الخدمات الداخلية، على سبيل المثال، من خلال مسح المنافذ بناءً على التوقيت.
قام باختبار الثغرة الأمنية عن طريق توجيه عنوان URL الخاص بواجهة برمجة التطبيقات (API) إلى خدمة بيانات تعريف مثيل Azure (IMDS)، التي تخزن بيانات اعتماد السحابة الحساسةdentيتطلب الوصول إلى هذه الخدمة عادةً Metadata: True ، لذلك شعر بالقلق عندما لم تتمكن محاولاته الأولية من توفير الرأس المطلوب.
في البداية، منعت ميزة GPT المخصصة استغلال الثغرة لأنها فرضت استخدام عناوين URL من نوع HTTPS، بينما يعمل Azure IMDS عبر HTTP. وباستخدام إعادة توجيه 302 من نقطة نهاية HTTPS خارجية إلى عنوان URL للبيانات الوصفية الداخلية، استجاب الخادم لإعادة التوجيه. ومع ذلك، حظر Azure الوصول في حال عدم وجود الترويسة المطلوبة.
"بما أن الخادم اتبع عمليات إعادة التوجيه 302، فقد أعاد الاستجابة من عنوان URL الخاص ببياناتهم الوصفية الداخلية. المهمة أنجزت، أليس كذلك؟ خطأ. أشارت الاستجابة من خدمة البيانات الوصفية الخاصة بهم إلى عدم تعيين رأس مطلوب،" أوضح سير ليروي جينكينز.
بعد مواصلة فحص الاستجابات، تبين أن الخاصية تسمح باستخدام مفاتيح API مخصصة يمكن تسميتها كيفما تشاء. حاول تسمية مفتاح باسم Metadata بقيمة true، حيث تم إدخال الترويسة المطلوبة لمنح GPT حق الوصول إلى خدمة البيانات الوصفية.
قام جينكينز على الفور بالإبلاغ عن الثغرة الأمنية لبرنامج Bugcrowd التابع لشركة OpenAI، وتم تصنيف المشكلة على أنها ذات خطورة عالية ثم تم إصلاحها.
وذكر أيضًا أن شركة Open Security استخدمت سابقًا هذا النوع من سلسلة هجمات SSRF لاستغلال ميزة إنشاء الفواتير الضعيفة في شركة مالية عالمية كبرى لأغراض التدقيق الأمني.
أصدرت OpenAI نموذج GPT-5.1 بعد الاضطرابات التي شهدها الإصدار 5.0
وفي أخبار أخرى ذات صلة بـ ChatGPT، OpenAI عن إطلاق GPT-5.1، مفتخرة بالعديد من التحديثات التي تم إجراؤها من الإصدار 5.0 لتحسين اتباع التعليمات والاستدلال التكيفي.
"تم إطلاق GPT-5.1! إنه تحديث رائع. أعجبتني بشكل خاص التحسينات في تنفيذ التعليمات، والتفكير التكيفي. كما أن التحسينات في الذكاء والأسلوب جيدة أيضًا"، كتب الرئيس التنفيذي سام ألتمان على منصة X في وقت متأخر من يوم الأربعاء.
اختبر الكاتب التقني ميهول غوبتا نموذج GPT-5.1 مقارنةً بسابقه، مشيرًا إلى أن GPT-5، رغم صقله وفائدته، يُعقّد أحيانًا المهام البسيطة. ويُفترض أن النسخة الفورية من GPT-5.1 تتمتع بفهم مُحسّن وفترات توقف تكيفية دقيقة تُعطي استجابات أكثر مراعاةً للسياق.
في إحدى التجارب، طلب غوبتا من كلا النموذجين الإجابة بست كلمات. حاول GPT-5 الإسهاب في الشرح، بينما قدم GPT-5.1 إجابة موجزة وصحيحة.
كما أعلن ألتمان عن إضافة 7 إعدادات مسبقة جديدة، بما في ذلك الإعدادات الافتراضية والودية والفعالة والاحترافية والصريحة والغريبة، ولكن يمكن للمستخدمين اختيار "ضبطها بأنفسهم"
يستغل مصرفك أموالك، ولا تحصل إلا على الفتات. شاهد الفيديو المجاني الخاص بنا حول كيفية إدارة أموالك بنفسك.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtrondentdentdentdentdentdentdentdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
دورة
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)