OpenAI 的 Codex 帮助发现 HTTP/2 Bomb DoS 攻击,该攻击可以在几秒钟内摧毁超过 30GB 的 RAM,在 Web 服务器做出反应之前使它们离线
一句话看懂:安全研究人员借助 OpenAI 的 Codex 代码生成智能体发现了一种名为“HTTP/2 Bomb”的新型拒绝服务攻击(DoS)漏洞。该攻击仅需单台 100 Mbps 带宽的廉价电脑,就能在 20 秒内耗尽主流 Web 服务器多达 32GB 的内存,导致服务器瞬间离线,且现有防御机制几乎无效。
事件核心:发生了什么
本周早些时候,化名为 Calif 的网络安全研究人员公开了一项发现:他们利用 OpenAI 的 Codex 智能体,结合了两项已知的 HTTP/2 协议攻击技术——HPACK 压缩放大和慢速资源保留(类似 Slowloris),创造出了“HTTP/2 Bomb”。攻击原理是:通过发送极小尺寸的请求包,触发服务器将其解压并分配巨大的内存空间,随后利用 HTTP/2 的流控制机制将连接挂起,阻止内存释放。大量并发请求会迅速累积,在 20 秒内强迫 Apache httpd 或 Envoy 等服务器消耗并持有超过 30GB 的内存。研究人员已公开概念验证代码(PoC),但完整技术细节计划在本月末公布。
为什么重要
这项发现的重要性在于两个层面。第一,它直接影响互联网基础设施的安全根基。受影响的服务器包括 Nginx、Apache HTTP Server、Microsoft IIS、Envoy 以及 Cloudflare Pingora,这些产品支撑了全球“相当大一部分”网站。第二,这是 AI 代码生成工具直接参与高危安全漏洞发现的新案例。OpenAI Codex 在攻击方法的组合与设计阶段起了核心作用,引发了关于 AI 双刃剑效应的讨论——AI 既可帮助防守方自动化漏洞检测,也可能被攻击方用于开发更高效、更难防御的攻击手段。目前,已有部分厂商发布了补丁,但仍有服务器处于未修复状态。
对用户/开发者/创作者的影响
对于网站管理员和 IT 运维人员,应立即检查所管理的服务器是否为 HTTP/2 配置,并关注 Nginx、Apache、IIS、Envoy 等产品的官方更新公告,尽快应用安全补丁。对于普通互联网用户,短期内无需担心个人信息泄露,但可能遭遇因服务器被攻击而导致的网站访问延迟或服务中断。需要注意的是,当前常见的防御策略——例如限制总解码头部大小——在本次攻击中完全无效,因为攻击者使用的头部数值本身极小。开发者应关注即将公开的技术细节,以便更透彻地理解漏洞成因并加固自己的应用。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
目前公开信息显示,有三个关键观察点值得跟进:第一,本月末披露的完整技术细节是否会催生大规模的漏洞利用尝试,还是仅停留在研究阶段;第二,受影响最广的服务器厂商(如 Apache、Nginx 和微软)是否会紧急发布通用补丁,以及补丁对 HTTP/2 协议性能的影响;第三,OpenAI Codex 及其他 AI 编程助手的角色是否会引发安全社区针对“AI 辅助攻击”的防御工具和审查标准的讨论,进而影响 AI 产品的可用性政策。
来源:TechRadar
