
IT之家 7 月 6 日音讯,安全东说念主员 zer0dac 在 Medium 发文,暴露了 ChatGPT 存在的一项安全瑕疵。相应瑕疵可允许黑客诓骗教导词注入(Prompt Injection)和旅途遍历(Path Traversal)本领绕过部分文献访谒戒指,赢得极端数据。现在该安全东说念主员已将瑕疵提报给 OpenAI,相应瑕疵已于近期确立。 把柄 zer0dac 的评释,当用户向 ChatGPT 上传文献后,系统默许不会提供原始上传文献的下载功能。若是用户平直要求下载文献,ChatG

IT之家 7 月 6 日音讯,安全东说念主员 zer0dac 在 Medium 发文,暴露了 ChatGPT 存在的一项安全瑕疵。相应瑕疵可允许黑客诓骗教导词注入(Prompt Injection)和旅途遍历(Path Traversal)本领绕过部分文献访谒戒指,赢得极端数据。现在该安全东说念主员已将瑕疵提报给 OpenAI,相应瑕疵已于近期确立。
把柄 zer0dac 的评释,当用户向 ChatGPT 上传文献后,系统默许不会提供原始上传文献的下载功能。若是用户平直要求下载文献,ChatGPT 同样会教导该文献属于临时上传现实,已无法赢得。

不外 zer0dac 在测试中发现,不错先要求 ChatGPT 对上传文献进行剪辑,再以“误删文献”为由,申请生成下载统一。在这一过程中,ChatGPT 会复返一个有用的 URL 下载统一,从而露出用于检索文献的里面接口旅途。之后辗转者还可进一步诓骗旅途遍黄历领,尝试冲破原有的访谒戒指,读取成见旅途以外的其他现实。


zer0dac 暗意,天然受到 ChatGPT 沙箱机制的戒指尊龙凯时(中国)官方网站,这一瑕疵自己无法平直访谒精练锐数据,但它不错看成更复杂辗转链中的一个循序,为后续辗转创造要求。针对该问题,OpenAI 照旧篡改了文献下载 URL 的生成过程,确立了这一安全瑕疵,幸免黑客后续诓骗相应瑕疵赢得里面文献访谒旅途。