И за бот ее бросает
Роскомнадзор пытается блокировать поисковую программу OpenAI
Роскомнадзор направил ряду хостинг-провайдеров письмо о выявлении поискового робота GPTBot от OpenAI. Ведомство рекомендует заблокировать возможность бота просматривать и анализировать интернет-страницы для «исключения сбора информации о критических уязвимостях ресурсов», которые находятся в зоне ответственности компаний. Эксперты отмечают, что в случае запрета деятельности подобных алгоритмов бизнесу придется прибегать к другим методам сбора актуальных данных, например, через маскировку своих ботов.
“Ъ” ознакомился с письмом Главного радиочастотного центра (ГРЧЦ, подведомствен Роскомнадзору) с рекомендациями по выявлению и блокировке бота GPTBot компании OpenAI, которое ведомство 11 декабря разослало ряду хостинг-провайдеров.
В письме говорится о необходимости оценить риски сбора информации об уязвимости ресурсов или «иной чувствительной информации, в том числе содержащей персональные данные».
В случае выявления таких рисков ГРЧЦ указывает на необходимость заблокировать обращения бота. Ведомство также направило инструкцию о том, как это сделать.
Сотрудник дежурной смены центра мониторинга и управлению сетью связи общего пользования ГРЧЦ по телефону подтвердил “Ъ” отправку письма. В Роскомнадзоре отказались от комментариев. В хостинг-провайдерах Beget и Rusonyx не ответили “Ъ”. В Координационном центре доменов .RU/.РФ сообщили, что не получали письмо.
Ранее эксперты Qrator Labs сообщали (см “Ъ” от 6 декабря), что в ноябре этого года компания отметила резкий рост активности вредоносных ботов. В первую очередь их атакам подверглись онлайн-магазины во время активных распродаж. В период 24–30 ноября произошло 40,7% от всех обращений обезличенных ботов на индустрию в прошлом месяце. Крупнейшая отдельная атака была 26 ноября — тогда компания зафиксировала 5,2 млн запросов. По данным Qrator Labs, рекордным стало количество обращений к российским ресурсам именно от GPTBot.
На 1700 процентов
к октябрю 2023 года выросло количество интернет-запросов в поисковиках об ИИ после того, как OpenAI представила чат-бот ChatGPT, по данным Indusface.
OpenAI запустила этого бота в августе для сканирования веб-ресурсов и сбора открытых данных, которые впоследствии будет использовать для улучшения своей нейросети ChatGPT. Вскоре после запуска на волне критики продукта и компании за несанкционированный сбор данных OpenAI опубликовала инструкцию, как заблокировать доступ бота к сайту или предоставить ему данные лишь частично.
«Не секрет, что ИИ-боты могут применяться не только в мирных целях, но и служить интересам киберпреступников. На базе таких решений уже сейчас создают инструменты для быстрого взлома, фишинга, обеспечения работы даркнет-площадок»,— рассказал “Ъ” гендиректор хостинг-провайдера RUVDS Никита Цаплин.
Господин Цаплин отмечает, что этим рискам нужно уделять внимание, и поэтому рекомендация Роскомнадзора позволяет ограничить возможности автоматизированного поиска уязвимостей с помощью тех или иных ИИ-ботов: «Они становятся все эффективнее и, следовательно, опаснее. Конечно, отличить бота от обычного пользователя не всегда просто, но в целом такую работу вести нужно. Мы расцениваем инициативу как здравую, ее можно советовать применять всем вебмастерам».
«Сам по себе GPTBot оформлен максимально корректно, он всегда "представляется", когда появляется на сети, и заявляет о соблюдении правил доступа для ботов, заданных владельцами ресурсов»,— уточняет менеджер продукта Qrator.AntiBot в Qrator Labs Георгий Тарасов.
Эксперт отмечает, что OpenAI самостоятельно разместила инструкцию о том, как запретить боту доступ или ограничить его работу определенными страницами. Дополнительно компания для верификации предоставляет список IP-адресов, с которых происходят обращения.
«Если компании в рунете и в глобальном интернете продолжат запрещать доступ для GPTBot и других AI-поисковых роботов в том же темпе, как это происходит сейчас, то AI/ML бизнесам придется прибегать к другим методам сбора актуальных данных,— полагает господин Тарасов.— Например, к маскировке ботов под легитимных пользователей и покупку агрегированных данных у владельцев бот-ферм, а это уже входит в категорию нежелательных бот-атак».