最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- 研究者が ChatGPT のカスタム GPT「アクション」機能に重大な SSRF 脆弱性を発見し、内部のクラウドdent情報が漏洩する危険性があります。.
- この脆弱性により、Azure Instance Metadata Service へのアクセスが許可され、攻撃者が OpenAI のクラウド環境を完全に制御できるようになる可能性があります。.
- OpenAI は、改良された命令追跡、適応型推論、即時モデル強化、およびユーザー向けの新しいカスタマイズ オプションを備えた GPT-5.1 をリリースしました。.
OpenAIの大規模言語モデルChatGPTは、今週初めに研究者によってカスタムGPTの「アクション」機能内に発見されたセキュリティ上の欠陥を修正しました。研究者によると、攻撃者はサーバーサイドリクエストフォージェリ(SSRF)のバグを悪用し、AIモデルのクラウド内の内部dent情報を漏洩させる可能性がありました。.
オープンセキュリティエンジニアでありバグハンターでもあるSirLeeroyJenkins氏は、初めてのカスタムGPTを作成中にSSRF脆弱性の存在を「察知」しました。アクション機能を使用すると、ユーザーはOpenAPIスキーマを使用して外部APIを defiし、AIが気象データの取得などの特定のタスクを実行する際にそれらを呼び出すことができます。.
SirLeeroyJenkins氏は自身のAPIをテストしていた際、システムがユーザー指定のURLからデータを返すことを発見しました。この動作に不安を感じた彼は、SSRFの問題の可能性を疑い、さらにテストを実施しました。.
「この機能がユーザーが指定したURLからデータを返す可能性があることに気づいた瞬間、ハッカーの本能が働き始めました」と彼は語った。「SSRFをチェックせざるを得ませんでした。」
SSRF の脆弱性によりカスタム GPT が安全でなくなる可能性がある
ように 説明されている 今週初めに公開されたジェンキンスのMedium記事で
SSRF は 2021 年に OWASP トップ 10 リストに載るほど蔓延しており、クラウド環境における安全でないデフォルト構成によって重要なシステムが危険にさらされる可能性があるため、潜在的な被害が拡大しています。.
ジェンキンス氏は、SSRFには主にフルリード型とブラインド型の2種類があると説明しました。フルリード型SSRFは、標的のサービスから攻撃者に直接データを返します。一方、ブラインド型SSRFはレスポンスを開示しませんが、タイミングベースのポートスキャンなどを通じて内部サービスとのやり取りを可能にします。.
を保存するAzureのインスタンスメタデータサービス(IMDS)にAPI URLを向けることで、脆弱性をテストしたdentが必要となる Metadata: True ため、最初の試みで要求されたヘッダーを提供できなかったことに彼は驚いた。
カスタムGPT機能は当初、HTTPS URLを強制していたため、このエクスプロイトをブロックしました。Azure IMDSはHTTP経由で動作しますが、カスタムGPT機能はHTTPS URLを強制していました。外部HTTPSエンドポイントから内部メタデータURLへの302リダイレクトを使用して、サーバーはリダイレクトに従いました。しかし、Azureは必要なヘッダーがないアクセスをブロックしました。.
「サーバーは302リダイレクトに従ったため、内部メタデータURLからのレスポンスを返しました。これでミッション完了、ですよね? 違います。メタデータサービスからのレスポンスは、必要なヘッダーが設定されていないことを示していました」とSirLeeroyJenkins氏は指摘しました。.
レスポンスの調査を続けた後、この機能では任意の名前を付けられるカスタムAPIキーが許可されていることがわかりました。彼は、 Metadata の 値 trueメタデータサービスへのGPTアクセスを許可するために必要なヘッダーが挿入された、
ジェンキンス氏はすぐに OpenAI の Bugcrowd プログラムに脆弱性を報告し、この問題には高い重大度が割り当てられ、その後修正プログラムが適用されました。.
また、Open Security 社は以前、セキュリティ監査のために大手グローバル金融機関の脆弱な請求書生成機能を悪用するために、このタイプの SSRF 攻撃チェーンを使用していたとも述べています。.
OpenAI、バージョン5.0の混乱を経てGPT-5.1をリリース
ChatGPT に関するその他の関連ニュースでは、 OpenAI が GPT-5.1 のリリースを発表し、バージョン 5.0 からいくつかのアップデートが行われ、指示の追従と適応型推論が改善されていることを誇っています。
「GPT-5.1がリリースされました!素晴らしいアップグレードです。特に、指示に従う能力と適応思考力の向上が気に入っています。知能とスタイルの向上も素晴らしいですね」 書き込みました 、CEOのサム・アルトマン氏は水曜日の夜遅くにXに
テクノロジーライターのメフル・グプタ氏は、GPT-5.1を前身のGPT-5と比較テストし、 GPT-5は洗練されていて役に立つものの、単純なタスクを過度に複雑にしてしまうことがあると指摘した。GPT-5.1のインスタントバージョンは、理解力が向上し、微妙な適応的な間合いによって、より「文脈を意識した」応答が得られるとされている。
あるテストで、グプタ氏は両方のモデルに6語で回答するよう指示しました。GPT-5は過剰な説明を試みましたが、GPT-5.1は簡潔で正確な回答を返しました。.
アルトマン氏はまた、デフォルト、フレンドリー、効率的、プロフェッショナル、率直、または奇妙な 7 つの新しいプリセットが追加されたが、ユーザーはそれを「自分で調整する」こともできると発表しました。
あなたの銀行はあなたのお金を使っています。あなたは残り物しか受け取っていません。 あなた自身が銀行になる方法
免責事項: 本情報は投資助言ではありません。Cryptopolitan.com Cryptopolitan、 本ページの情報に基づいて行われた投資について一切責任を負いません。投資判断を行う前に、ごtrondentdentdentdentdentdentdentdent で調査を行うか、資格のある専門家にご相談されることを
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)