Rozhodl se pro netradiční a poměrně výbušný přístup – ZIP bombu.
Ibrahim Diallo, odborník na programování webových stránek, na svém blogu odhalil radikální, ale účinnou strategii, jak ochránit svůj server před neustálým obtěžováním automatickými boty, zejména těmi, které používají společnosti zabývající se umělou inteligencí k napájení rozsáhlých jazykových modelů. Řešení? Digitální past maskovaná jako komprimovaný archiv.
Tichá hrozba
Diallo vychází ze znepokojivého zjištění: většina webového provozu již nepochází od lidí, ale od botů. Některé z nich jsou neškodné, například ty z vyhledávačů nebo čteček RSS. Jiné jsou však méně: patří mezi ně boti určení ke skenování bezpečnostních zranitelností, vkládání škodlivých skriptů, získávání obsahu bez povolení (scraping) nebo dokonce rekrutování serverů pro útočné sítě DDoS.
V případě tréninkových botů s umělou inteligencí se projevuje nejen jejich nepřiměřená chamtivost v konzumaci aktuálních informací (do té míry, že ohrožují například i stabilitu serverů Wikipedie), ale přístup na webové stránky záměrně ignorují obvyklé mechanismy odmítnutí povolení, které používají správci webových stránek.
Obvykle prostřednictvím tradičního souboru „robots.txt“ (weby UI nejsou ze zákona povinny jej respektovat, ale považuje se to za věc netikety).
Komprese proti kompresi
Diallo využívá základní technologii moderního internetu: kompresi GZIP. Prohlížeče a boti obvykle odesílají kód označující jejich schopnost přijímat komprimované soubory, což je funkce, která pomáhá zrychlit prohlížení tím, že umožňuje webovým serverům poskytovat lehčí verze svých stránek a optimalizovat tak využití šířky pásma. Nabízí však také možnost „nastražit past“.
"I use Zip Bombs to Protect my Server"
"I return a 200 OK response, and serve them a gzip response. I vary from a 1MB to 10MB file which they are happy to ingest. […] they crash right after ingesting the file."https://t.co/gEw336ny5rhttps://t.co/gEw336ny5r
— Gael (@GGtld) April 30, 2025
Když Diallo zjistil na svém serveru aktivitu škodlivého bota, odpověděl komprimovaným souborem speciálně navrženým tak, aby útočníka zničil. Tyto soubory, známé jako „bomby ZIP“, jsou na pohled malé, ale po rozbalení se masivně rozšíří a zaberou až 10 GB paměti. Výsledek: mnoho botů, kteří soubor stáhnou, aniž by věděli, co obsahuje, skončí zablokováno, zhrouceno nebo odpojeno od serveru, na kterém běží.
Jak funguje ZIP bomba
Proces vytvoření je jednoduchý: zahrnuje krátký příkaz, který vygeneruje 10GB archiv plný nul, který je následně komprimován pomocí GZIP na přibližně 10 MB (tato extrémní komprese je možná právě díky vnitřní homogenitě souboru).
Implementace je jednoduchá. Server identifikuje bota (podle jeho IP, podezřelého chování nebo pokusů o spam) a odpoví zasláním komprimované „bomby“, nikoli pouhého souboru HTML. Když bot za účelem analýzy obsahu soubor dekomprimuje, nastává problém.
Když jej bot obdrží a začne dekomprimovat, dojde k přetečení paměti, pokud není připraven na zpracování tak obrovských velikostí. Škodlivý skript se zastaví a v mnoha případech se již znovu neobjeví.
Na fóru Hacker News tato technika vyvolala mnoho diskusí. Někteří uživatelé sdílejí anekdoty o podobných strategiích, jako je reakce pomocí náhodných datových toků z /dev/urandom nebo vytváření nekonečných souborů HTML, které zpomalují prohlížeče.
Je to legální/etické?
Diallova technika se nachází v etické i technické šedé zóně. Neinstaluje malware do cizích systémů, ale má destruktivní následky, pokud na to boti nejsou připraveni. Na druhou stranu sám upozorňuje, že bomby ZIP nejsou neomylné: mohou být odhaleny, ignorovány nebo částečně zpracovány sofistikovanějšími boty.
Jejich cílem však není způsobovat nevybíravé škody, ale chránit digitální prostor před narušiteli, kteří v mnoha případech jednají bez souhlasu a za pochybnými účely.
Je to užitečné?
Diallo netvrdí, že svou strategii prezentuje jako univerzální řešení, ale je skvělým příkladem rostoucího napětí mezi tvůrci obsahu a systémy automatizovaného sběru dat: Tváří v tvář stále nejisté regulaci využívání veřejného obsahu systémy umělé inteligence začínají někteří vývojáři přijímat drastická opatření, aby si udrželi kontrolu nad svou prací.
Důležité je, že ačkoli bomby ZIP mohou být účinné proti méně sofistikovaným botům, nejsou definitivním řešením. Vývojáři botů se také neustále vyvíjejí a hledají způsoby, jak se těmto nástrahám vyhnout. Proto je nezbytné, aby správci webových stránek kombinovali tuto taktiku s dalšími bezpečnostními opatřeními, jako je používání captchas, firewallů a systémů detekce narušení a chránili tak své servery komplexněji.