研究员发现ChatGPT漏洞,可通过提示词注入绕过文件访问限制
创始人
2026-07-07 05:03:56
0

IT之家 7 月 6 日消息,安全人员 zer0dac 在 Medium 发文,披露了 ChatGPT 存在的一项安全漏洞。相应漏洞可允许黑客利用提示词注入(Prompt Injection)和路径遍历(Path Traversal)技术绕过部分文件访问限制,获取额外数据。目前该安全人员已将漏洞提报给 OpenAI,相应漏洞已于近期修复。

根据 zer0dac 的说明,当用户向 ChatGPT 上传文件后,系统默认不会提供原始上传文件的下载功能。如果用户直接要求下载文件,ChatGPT 通常会提示该文件属于临时上传内容,已无法获取。

不过 zer0dac 在测试中发现,可以先要求 ChatGPT 对上传文件进行编辑,再以“误删文件”为由,请求生成下载链接。在这一过程中,ChatGPT 会返回一个有效的 URL 下载链接,从而暴露用于检索文件的内部接口路径。之后攻击者还可进一步利用路径遍历技术,尝试突破原有的访问限制,读取目标路径之外的其他内容。

zer0dac 表示,虽然受到 ChatGPT 沙箱机制的限制,这一漏洞本身无法直接访问高敏感数据,但它可以作为更复杂攻击链中的一个环节,为后续攻击创造条件。针对该问题,OpenAI 已经调整了文件下载 URL 的生成流程,修复了这一安全漏洞,避免黑客后续利用相应漏洞获取内部文件访问路径。

相关内容

热门资讯

毕业踏歌行丨奔跑在光里的自己 又是一年毕业季,一首首熟悉的旋律再次在校园响起。从毕业典礼到图书馆闭馆、从宿舍楼下到奔赴远方的列车,...
研究员发现ChatGPT漏洞,... IT之家 7 月 6 日消息,安全人员 zer0dac 在 Medium 发文,披露了 ChatGP...
AI折叠!Fable 5和GP... 新智元报道 【新智元导读】最近,LMArena负责人的这句话刷屏了:大众只配玩AI玩具,少数人正用...
澳柯玛获得实用新型专利授权:“... 证券之星消息,根据天眼查APP数据显示澳柯玛(600336)新获得一项实用新型专利授权,专利名为“一...
小米18ProMax大升级!R... 目前,距离小米 17 系列上市已经过去了一段时间。相关的产品销售信息也陆续出现。 博主@RD观测 的...
表面等离激元共振全息显微镜:折... 本文由论文作者团队撰稿 导读 近期,西北工业大学赵建林教授团队在发表了题为“Refractive ...
丘成桐:基础研究人才引进不能“... (来源:New Economist) 丘成桐出席国际弦理论大会资料图。本文来源:澎湃新闻,记者 蒋...
第八届创新发展论坛金i奖榜单揭... 近日,由中国科学院《互联网周刊》、DBC德本咨询、eNet研究院共同评选的“第八届创新发展论坛金i奖...
豆包又一功能下线:应用生成功能... 7月6日,豆包在宣布全面下线“智能体”功能之前,其“应用生成”功能已于5月31日率先停止服务。 目前...
哪款耳夹式耳机性价比高?学生党... 随着蓝牙技术持续迭代,开放式耳机凭不堵耳道、佩戴更自在的优势,成为运动通勤及重度听音人群的心头好。但...