4 января генеральный директор Triplegangers Александр Томчук столкнулся с неожиданной проблемой: сайт его компании, специализирующейся на продаже 3D-изображений, перестал работать. Это было похоже на DDoS-атаку, но виновником оказался бот OpenAI, который непрерывно отправлял запросы к серверу, пытаясь загрузить сотни тысяч изображений и описаний товаров.
Что произошло?
Triplegangers — это украинская компания, лицензированная в США, которая создала крупнейшую в интернете базу данных «цифровых двойников человека». Она предоставляет 3D-модели и изображения для художников, разработчиков видеоигр и других профессионалов. Сайт компании содержит более 65 000 страниц товаров, каждая из которых включает минимум три фотографии.
По словам Томчука, бот OpenAI использовал более 600 IP-адресов, чтобы отправить «десятки тысяч» запросов на сервер компании. Это привело к перегрузке системы и полной остановке работы сайта.
«Их сканеры буквально уничтожали наш сайт», — заявил он, отметив, что это стало для небольшой команды из семи человек серьёзным ударом. Более того, компания ожидает роста расходов на услуги AWS из-за высокой нагрузки, вызванной действиями бота.
Почему это произошло?
Triplegangers запрещает сбор данных с сайта без разрешения, что указано на странице с условиями использования. Однако, как объясняет Томчук, это правило бесполезно без корректно настроенного файла robots.txt, который указывает ботам, какие страницы нельзя индексировать.
Файл robots.txt, созданный в рамках протокола Robots Exclusion Protocol, позволяет ограничивать доступ для поисковых систем и ботов. OpenAI утверждает, что его боты уважают настройки do-not-crawl, но изменения в файле могут вступить в силу только спустя 24 часа.
Если сайт не имеет корректных настроек robots.txt, боты могут свободно сканировать его, что и произошло в случае с Triplegangers.
Меры, принятые компанией
После инцидента Томчук обновил файл robots.txt и настроил систему Cloudflare для блокировки ботов, включая GPTBot от OpenAI, Barkrowler (SEO-бот) и Bytespider (бот TokTok). Также компания предпринимает дополнительные меры для защиты данных от возможных атак со стороны других разработчиков искусственного интеллекта.
Несмотря на принятые меры, Томчук не смог выяснить, какие именно данные бот OpenAI успел собрать. Он также не нашёл способа связаться с OpenAI для обсуждения инцидента.
Опасения и последствия
Томчук отметил, что его бизнес связан с правовыми вопросами, так как Triplegangers работает с изображениями реальных людей. Такие законы, как европейский GDPR, запрещают использование фотографий людей без их разрешения.
«Это пугает, что компании находят лазейки для сбора данных, возлагая на владельцев сайтов ответственность за защиту информации», — говорит он. Томчук предупреждает, что многие компании даже не догадываются о том, что их сайты сканируют боты, что делает такие угрозы незаметными для большинства.
Киберугрозы в 2024 году
Эксперты отмечают, что утечки баз данных и атаки программ-вымогателей стали ключевыми угрозами для бизнеса в 2024 году. За год в открытом доступе появилось более 250 ранее неизвестных баз данных российских компаний, а количество атак программ-вымогателей увеличилось на 44%.
Этот случай с Triplegangers подчёркивает необходимость не только защиты данных, но и повышения осведомлённости о новых рисках, связанных с развитием технологий искусственного интеллекта.