拾雨 (@c519127)研究员发现 ChatGPT 暗藏漏洞,可通过提示词注入绕过文件访问限制 中发帖

IT之家 7 月 6 日消息,安全人员 zer0dac 在 Medium 发文,披露了 ChatGPT 存在的一项安全漏洞。相应漏洞可允许黑客利用提示词注入(Prompt Injection)和路径遍历(Path Traversal)技术绕过部分文件访问限制,获取额外数据。目前该安全人员已将漏洞提报给 OpenAI,相应漏洞已于近期修复。 
根据 zer0dac 的说明,当用户向 ChatGPT 上传文件后,系统默认不会提供原始上传文件的下载功能。如果用户直接要求下载文件,ChatGPT 通常会提示该文件属于临时上传内容,已无法获取。
[986562f1-67db-4388-be09-d571084fcb46]
不过 zer0dac 在测试中发现,可以先要求 ChatGPT 对上传文件进行编辑,再以“误删文件”为由,请求生成下载链接。在这一过程中,ChatGPT 会返回一个有效的 U...