Californiapõhine turvauurimisfirma Calif avastas OpenAI Codex agendi abiga kaugjuhitava teenustõkestusründe (DoS), mis suudab haavatavad veebiserverid muuta kättesaamatuks vaid sekunditega – kasutades selleks vaid ühte tavatarbija arvutit 100 Mbps ühendusega. Rünnak on ristitud nimeks HTTP/2 Bomb ja see ühendab kaks enam kui kümme aastat vana tehnikat: HPACK-kompressioonipommi (CVE-2016-6581) ja Slowlorisi-stiilis ühendusehoidmise (CVE-2016-8740 ja CVE-2016-1546). Koos kurnatakse serveri mälu – Apache httpd ja Envoy puhul suudab üks klient hõivata ja hoida 32 GB serveri mälu ligikaudu 20 sekundiga. Haavatavus mõjutab populaarsete veebiserverite vaikimisi HTTP/2 seadistusi, sealhulgas nginx, Apache HTTP Server, Microsoft IIS, Envoy ja Cloudflare Pingora. Nginxi parandus ilmus versioonis 1.29.8 ning Apache avaldas paranduse sama päev, mil raport esitati. Microsoft IIS ja Cloudflare Pingora olid neljapäeva seisuga veel paikamata, kuigi Cloudflare väidab, et nende olemasolevad DDoS-kaitsemehhanismid kaitsevad ründe eest ilma lisapaigata. Hinnanguliselt võib ohus olla üle 880 000 veebisaidi. Turvauurija Quang Luong esitleb täielikke tehnilisi üksikasju hiljem sel kuul toimuval Real World AI Security konverentsil.