zer0dac 指出,ChatGPT 在默认情况下,用户上传文件后并不提供直接下载原始文件的功能。若用户尝试直接下载,ChatGPT 会告知文件为临时上传内容,无法再获取。
然而,zer0dac 在其测试中发现了一个绕过此限制的方法。用户可以先要求 ChatGPT 编辑上传的文件,然后以“误删文件”为借口,请求生成下载链接。在此操作过程中,ChatGPT 会提供一个可用的 URL 下载链接,从而暴露用于访问文件的内部接口路径。攻击者随后可以利用此路径,结合路径遍历技术,尝试突破原有的访问限制,访问目标路径以外的其他文件。
zer0dac 补充说,尽管 ChatGPT 的沙箱机制限制了此漏洞的直接危害,使其无法直接获取高度敏感信息,但该漏洞可作为更复杂攻击的一部分,为后续的攻击提供便利。针对此问题,OpenAI 已修改了文件下载 URL 的生成逻辑,以修补此安全漏洞,防止攻击者利用该漏洞获取内部文件访问路径。


