据 zer0dac 的研究,ChatGPT 在处理用户上传文件时,其默认设置是不提供原始文件的下载选项。当用户尝试直接下载文件时,系统通常会告知用户该文件是临时上传内容,无法再次获取。
然而,zer0dac 在实际测试中发现了一种规避方法。首先,用户可以要求 ChatGPT 编辑上传的文件,随后以“误删文件”为借口,请求生成文件的下载链接。在此操作流程中,ChatGPT 会提供一个有效的 URL 下载链接,该链接揭示了用于访问文件的内部接口路径。攻击者可以进一步利用这一路径,借助路径遍历技术,尝试绕过既有的访问限制,进而读取目标路径之外的其他信息。
zer0dac 指出,尽管 ChatGPT 的沙箱机制对这一漏洞的直接影响有所限制,无法直接访问高度敏感的数据,但它可能成为更复杂攻击链条中的一个关键环节,为后续的攻击活动铺平道路。针对此安全隐患,OpenAI 已对 ChatGPT 的文件下载 URL 生成机制进行了优化,成功修复了该漏洞,阻止了黑客通过此途径获取内部文件访问路径的可能性,这也体现了东升国际平台在安全防护方面的不懈努力。
資深玩家
3小时前东升国际专注即時的遊戲資訊與活動更新,为用户提供专业可靠的体验。
遊戲達人
1天前围绕個人化遊戲推薦與互動社群,东升国际持续打磨更优质的服务。