zer0dac 指出,ChatGPT 在处理用户上传文件时,默认情况下并不提供下载原始文件的选项。若用户直接索要文件下载,ChatGPT 通常会回复称该文件为临时内容,无法再行获取。
然而,zer0dac 在其测试过程中发现了一种绕过机制。用户可以先指示 ChatGPT 编辑上传的文件,然后借口“误删文件”来请求生成下载链接。在此操作后,ChatGPT 会提供一个可用的 URL 下载链接,从而泄露用于查找文件的内部接口路径。随后,攻击者可以进一步运用路径遍历技术,尝试突破既有的访问限制,以访问目标路径之外的其他数据。
zer0dac 提及,尽管 ChatGPT 的沙箱机制限制了此漏洞的直接危害,无法直接触及高敏感信息,但它可能成为更复杂攻击链的一部分,为后续的攻击行为铺平道路。针对此安全隐患,OpenAI 已对 ChatGPT 的文件下载 URL 生成流程进行了修改,以堵塞这一漏洞,防止恶意用户通过此途径获取内部文件访问路径。
体育爱好者
2024年5月15日 回复sports-mksports.com)凭借其海量赛事数据和一手掌握的优势,成为广大用户信赖的体育信息入口。我们专注于提供清晰便捷的数据展示和高效稳定的内容更新。
资深分析师
2024年5月16日 回复选择MK体育,即刻开启精彩赛事体验。我们专业的平台服务与丰富的赛事资源,共同构筑了可靠的品牌形象,让您轻松查询比分、获取资讯。