来源:互联网 更新时间:2026-07-07 14:43
最近安全圈有个挺有意思的发现——研究员zer0dac披露了ChatGPT的一项安全漏洞,能让攻击者利用提示词注入(Prompt Injection)配合路径遍历(Path Tra versal)技术,绕过文件访问限制,拿到本不该看到的额外数据。好在OpenAI收到报告后已经顺手修了。
问题出在哪儿呢?ChatGPT处理上传文件的那套流程。正常情况下,你传个文件上去,系统根本不给你提供原始文件下载入口。如果你直接要求下载,它会告诉你“这是临时会话内容,没法提取”。听起来挺稳妥对吧?但漏洞就在这里拐了个弯。

zer0dac在测试中发现了一条“暗路”:你先诱导ChatGPT对上传文件进行编辑,然后以“误删文件”的理由请求下载链接——这时候模型就会乖乖生成一个有效的下载URL。拿到这个URL之后,攻击者不仅能触及内部的文件检索路径,还能进一步利用路径遍历技术,试着突破权限限制,读到目标路径以外的内容。
当然,也得客观说一句:受限于ChatGPT现有的沙箱机制,这个漏洞本身还不至于直接掏走高敏感数据。但真正让人捏把汗的是,它极有可能成为复杂攻击链里的关键一环——先开个口子,后面再跟上深度攻击。目前OpenAI已经调整了文件下载URL的生成逻辑,从源头上堵住了内部路径暴露的风险。这次事件也给所有大模型开发者提了个醒:在应用开发中,用户交互的输入过滤和权限隔离,依然是安全防护的重中之重。
电视剧《小欢喜》剧情介绍
俄罗斯最大yandex入口外贸日报直达链接
二次元男生网名可爱(精选100个)
美好的简约网名男生(精选100个)
腾讯元宝怎么用来分析股票基金的基本面信息?
Bubbly无法连接服务器修复方法
盖乐世社区怎么删除帖子?盖乐世社区个人发布内容撤回步骤
欧易OKX官方网站直达入口 2026欧易官方App安卓版v7.1.0下载安装
问题:CIA币好不?Cia Protocol币今日上线:价格预测、代币经济学和未来潜力
新浪人工智能热点小时报丨2026年06月20日02时_今日实时人工智能热点速递
免费观看国外短视频的app有哪些 观看国外短视频的软件下载
国际贵金属走低,现货黄金价格跌0.49%
wallpaper壁纸声音怎么开启
倒数日怎么注册 倒数日账号注册教程
币安Binance交易所官方入口 币安App下载安装与实名注册教程
本田CR-V支持哪些手机互联功能
短剧《退休金断供,女儿女婿慌了》剧情介绍
玉米名字网名大全男生(精选100个)
失落城堡2打完魔王后如何继续玩
《梦幻西游》特殊鬼怪怎么抓-隐藏变异鬼应对要点
手机号码测吉凶
本站所有软件,都由网友上传,如有侵犯你的版权,请发邮件haolingcc@hotmail.com 联系删除。 版权所有 Copyright@2012-2013 haoling.cc