Free stuff

研究员发现 ChatGPT 暗藏漏洞,可通过提示词注入绕过文件访问限制 - 9game

2026-07-06by Brandon Hanson

研究员 zer0dac 揭示了 ChatGPT 在处理用户上传文件时存在一个安全隐患。正常情况下,ChatGPT 不允许用户直接下载已上传的文件,并会提示文件为临时内容,无法获取。

然而,zer0dac 的测试表明,通过一系列特定指令,可以绕过此限制。首先,用户可以要求 ChatGPT 编辑上传的文件,随后以“误删文件”为借口,请求生成下载链接。在此过程中,ChatGPT 会生成一个可用的 URL,该 URL 实际暴露了用于访问文件的内部接口路径。进一步地,攻击者可以利用此路径,结合路径遍历技术,尝试访问限制范围之外的其他文件。

zer0dac 指出,尽管 ChatGPT 的沙箱环境限制了该漏洞的直接破坏力,但它仍可作为复杂攻击链中的一个关键步骤,为更深层次的入侵铺平道路。例如,它可能有助于绕过某些安全检查,为像 9game 这样的平台提供新的攻击向量。针对此发现,OpenAI 已采取措施,修改了文件下载 URL 的生成方式,从而堵塞了这一安全漏洞,防止其被用于非法获取内部文件访问路径。

电话:+86 151 4805 4877邮箱:[email protected]微信:portal9game_490