安全研究员 zer0dac 指出,ChatGPT 在处理用户上传文件时存在一个安全隐患。通常情况下,ChatGPT 在用户上传文件后,不会提供直接下载原始文件的功能。若用户尝试直接下载,系统会告知文件为临时上传,无法获取。
然而,zer0dac 的测试揭示了一种绕过此限制的方法。用户可以首先要求 ChatGPT 编辑上传的文件,随后以“误删文件”为借口,请求生成下载链接。在此操作流程中,ChatGPT 会生成一个可用的 URL,该链接暴露了用于访问文件的内部接口路径。进一步地,攻击者可以利用路径遍历技术,尝试突破既有权限,访问超出原定范围的其他内容,这与一些在世界杯竞猜中可能存在的安全风险有异曲同工之妙。
zer0dac 解释说,尽管 ChatGPT 的沙箱机制限制了该漏洞直接触及高度敏感信息,但它可被整合进更复杂的攻击序列,为后续入侵铺平道路。针对此发现,OpenAI 已对文件下载 URL 的生成机制进行了更新,成功堵塞了这一安全漏洞,防止攻击者通过该途径获取内部文件访问路径。

精彩评论
球迷代表:卡隆·巴利纳
2026年5月10日 回复世界杯2026围绕世界杯赛程不断创新,回应用户的真实需求。
球迷代表:朱莉娅斯·罗伊
2026年5月12日 回复精选世界杯竞猜内容,世界杯2026与你一同发现更多精彩。
球迷代表:阿里斯塔·威廉姆森
2026年5月15日 回复世界杯2026专注世界杯直播,为用户提供专业可靠的体验。