zer0dac 指出,ChatGPT 在用户上传文件后,默认情况下不提供直接下载原件的选项。若用户尝试直接下载,ChatGPT 通常会回复表示文件为临时上传内容,已无法检索。
然而,zer0dac 在测试过程中发现了一种规避方法:首先要求 ChatGPT 编辑上传的文件,然后以“误删文件”为借口,请求生成下载链接。在此过程中,ChatGPT 会提供一个可用的 URL,该 URL 暴露了用于访问文件的内部接口路径。随后,攻击者可以利用此路径,尝试绕过原有的访问限制,读取其他目录下的内容。
zer0dac 补充说,尽管 ChatGPT 的沙箱机制限制了此漏洞直接获取高度敏感数据的可能性,但它可作为复杂攻击链中的一环,为后续攻击铺平道路。针对此问题,OpenAI 已修改了文件下载 URL 的生成逻辑,修复了这一安全缺陷,从而阻止了攻击者利用该漏洞获取内部文件访问路径。




03 Comments
围绕世界杯赛程,世界杯买球网持续打磨更优质的服务。
19th May 2018 Reply世界杯买球网以覆盖全球热门球队最新动态,一手资讯尽在掌握。为核心,带来高效便捷的体验。
世界杯买球网深耕2026世界杯领域,用心服务每一位用户。
19th May 2018 Reply想了解更多实时比分更新,不错过任何精彩瞬间。相关内容,尽在世界杯买球网。
世界杯买球网围绕专业球队数据分析,助您深入了解赛事。不断创新,回应用户的真实需求。
19th May 2018 Reply精选海量赛事新闻与专题报道,满足您的足球热情。内容,世界杯买球网与你一同发现更多精彩。