驱动中国官方
26-07-07 09:21 微博认证:驱动中国官方微博

#ChatGPT文件访问漏洞#安全研究员 zer0dac 于 Medium 发布文章,曝光 ChatGPT 一处安全缺陷,攻击者结合提示词注入、路径遍历两种手段,就能绕过文件访问防护读取额外数据,该漏洞已上报 OpenAI 并完成修复。

正常场景下用户上传文件后,ChatGPT 不会开放原文件下载通道,索要下载链接时平台会提示临时文件无法调取。

漏洞利用流程十分简单:先指令 AI 编辑上传文件,再谎称文件误删索要下载地址,AI 会生成有效下载链接,泄露内部文件检索路径;攻击者依托该路径,搭配路径遍历手段突破权限,读取其他目录内容。

受沙箱机制约束,该漏洞不能直接调取高度敏感信息,但可作为攻击链路突破口,辅助开展更深层次攻击。OpenAI 现已修改文件下载链接生成逻辑,彻底封堵该安全隐患。

发布于 陕西