zer0dac 指出,ChatGPT 在默认情况下,用户上传文件后并不会提供下载原始文件的功能。若用户直接要求下载,ChatGPT 通常会回复该文件为临时内容,无法再次获取。
然而,zer0dac 在测试过程中发现,通过先指示 ChatGPT 编辑上传的文件,然后以“误删文件”为借口要求生成下载链接,可以绕过这一限制。在此过程中,ChatGPT 会生成一个有效的 URL,从而泄露用于访问文件的内部接口路径。随后,攻击者可以利用此路径,尝试通过路径遍历等技术突破原有的访问权限,读取非预期的其他文件内容。
zer0dac 补充道,尽管 ChatGPT 的沙箱隔离机制限制了该漏洞直接窃取高度敏感信息的可能性,但它仍可作为复杂攻击链中的一环,为后续的攻击提供便利。针对此问题,OpenAI 已对 ChatGPT 的文件下载 URL 生成机制进行了修改,修复了这一安全缺陷,防止攻击者通过该漏洞获取内部文件访问路径。