数智化转型网 人工智能资讯 每日人工智能资讯|安全研究员揪出ChatGPT漏洞:提示词注入竟能绕过文件访问限制

每日人工智能资讯|安全研究员揪出ChatGPT漏洞:提示词注入竟能绕过文件访问限制

近日,安全研究员zer0dac披露了ChatGPT存在的一项安全漏洞。该漏洞允许攻击者通过提示词注入(Prompt Injection)和路径遍历(Path Traversal)技术,绕过部分文件访问限制,从而获取非授权的额外数据。目前,OpenAI在收到报告后已对相关机制进行了修复。数智化转型网www.szhzxw.cn

根据分析,问题的核心在于ChatGPT对上传文件的处理流程。在正常情况下,用户上传文件后,系统并不会提供直接的原始文件下载功能。若用户尝试请求下载,系统通常会反馈该文件属于临时会话内容,无法提取。数智化转型网www.szhzxw.cn

然而,zer0dac在测试中发现了一个“绕过”路径:如果用户先诱导ChatGPT对上传文件进行编辑,随后以“误删文件”为由请求下载链接,ChatGPT便会生成一个有效的下载URL。通过这一链接,攻击者不仅能触及内部检索路径,还能进一步利用路径遍历技术,尝试突破权限限制,读取目标路径之外的文件内容。

虽然zer0dac指出,受限于ChatGPT现有的沙箱机制,该漏洞本身尚无法直接获取高敏感数据,但它极有可能成为复杂攻击链中的关键一环,为后续的深度攻击提供可能。目前,OpenAI已经对此进行了针对性优化,调整了文件下载URL的生成逻辑,从源头上堵住了这一内部文件路径暴露的风险。此次事件也再次提醒开发者,在大模型应用开发中,针对用户交互的输入过滤与权限隔离依然是安全防护的重中之重。

若您对人工智能感兴趣或为人工智能创始人,可添加数智化转型网小助手思思微信加入人工智能交流群。若您在寻找人工智能供应商,可联系数智化转型网小助手思思(17757154048,微信同号)

思思企微
思思企微

若您为人工智能服务商,可添加数智化转型网小助手Jasper,加入人工智能行业交流群。

鹿鸣企微
Jasper企微

声明:本文来自数智化转型网,版权归作者所有。文章内容仅代表作者独立观点,不代表数智化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。

底部图片
免责声明: 本网站(http://www.szhzxw.cn/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。 本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等) 版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。https://www.szhzxw.cn/131310.html
联系我们

联系我们

17717556551

邮箱: editor@cxounion.org

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部