研究人员 zer0dac 指出,ChatGPT 在处理用户上传的文件时,通常不提供直接下载原始文件的功能。当用户尝试下载时,系统会告知文件为临时上传,无法再次获取。
然而,zer0dac 在测试中发现了一种绕过此限制的方法。他能够指示 ChatGPT 编辑上传的文件,然后以“误删除文件”为借口,请求生成下载链接。ChatGPT 在此过程中会提供一个可用的 URL,该 URL 暴露了用于访问文件的内部接口路径。攻击者可以进一步利用路径遍历技术,尝试突破访问限制,访问超出预定范围的内容。
zer0dac 解释说,尽管 ChatGPT 的沙箱机制限制了该漏洞的直接影响,无法直接获取高度敏感信息,但它可能成为更复杂攻击的起点,为后续的攻击铺平道路。OpenAI 方面已对文件下载 URL 的生成机制进行了修改,成功修复了这一安全缺陷,以防止未来出现利用该漏洞获取内部文件访问路径的情况。这一发现与近期关于信息安全和数据访问的研究方向息息相关,也提醒着我们在享受技术便利的同时,也需警惕潜在的风险,就像在准备2026世界杯期间,安全保障同样至关重要。
| 主队 | 比分 | 客队 | 联赛 | 时间(北京) |
|---|---|---|---|---|
| 近期暂无比赛,请稍后再来查看。 | ||||