ChatGPT下载链路曝高危漏洞:一句“误导性对话”竟可触达系统文件

admin 2026-07-06 04:53:52 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 安全研究人员发现ChatGPT文件下载机制存在高危漏洞,通过多轮对话诱导与路径穿越结合,可绕过限制访问系统文件如/etc/passwd。漏洞已由OpenAI修复,强调LLM工具链与传统Web漏洞结合带来新风险。 综合评分: 95 文章分类: 漏洞分析,威胁情报,AI安全,WEB安全


cover_image

ChatGPT下载链路曝高危漏洞:一句“误导性对话”竟可触达系统文件

看雪学苑 看雪学苑

看雪学苑

2026年7月3日 17:59 上海

在小说阅读器读本章

去阅读

近日,安全研究人员披露了一起涉及 ChatGPT 文件下载机制的安全问题,该问题在概念验证(PoC)中被证明可能被组合利用,从而绕过限制访问到原本不应暴露的系统级文件路径,引发业界对大模型工具链安全性的关注。

据披露,这一漏洞并非单点问题,而是由“对话逻辑绕过”与“路径处理缺陷”叠加形成的攻击链。

从一个普通文件上传开始

整个过程最初看似非常常规:研究人员向 ChatGPT 上传了一个用于测试的 HTML 文件,用于后续的内容分析与处理。此时文件被存放在受控的沙箱环境中。

但问题出现在后续的文件访问环节。

对话引导绕过安全限制

当研究人员尝试直接获取文件下载链接时,系统依据安全策略拒绝了请求,提示文件已被清理或不允许再次访问。

然而,攻击链的关键一步在于利用多轮对话“重构语境”——研究人员先诱导模型对文件进行修改操作,再声称文件已意外删除,请求重新生成下载地址。

在这种语境切换下,系统生成了一个指向内部接口的下载链接,从而暴露了类似如下结构的后台路径:

/backend-api/conversation/{id}/interpreter/download?message_id={id}&sandbox_path=/mnt/data/xxx.html

这一步实际上让内部文件访问接口被“间接外显”。

路径穿越被嵌套利用

在获得下载接口后,研究人员进一步测试了 sandbox_path 参数的安全性。

如果直接使用 ../../../../etc/passwd 这类典型路径穿越 payload,系统会进行拦截。

但研究人员采用了一种更隐蔽的方式:在合法文件路径后追加跳转片段,例如:

/mnt/data/test.html/../../../../etc/passwd

这种结构绕过了部分路径校验逻辑,使得系统在解析时错误地先“认可前半段合法路径”,再发生目录跳转,从而访问到沙箱之外的系统文件。

最终,该请求在浏览器中被解析并返回了 /etc/passwd 内容。

影响有限,但风险链路值得警惕

尽管该问题看似严重,但研究人员也指出,由于 ChatGPT 执行环境本身是隔离沙箱,即便读取到 /etc/passwd,也不代表真实生产系统数据泄露,因此实际危害有限。

但更值得关注的是攻击链的组合方式:

  • 通过对话诱导绕过访问控制(提示词层面)
  • 再结合传统 Web 安全问题(路径穿越)
  • 最终形成可利用的文件访问链路

OpenAI 已完成修复

据披露,该问题目前已被 OpenAI 修复,主要方式是重新设计了文件下载接口的生成与访问逻辑,阻断了相关路径构造方式。不过官方并未公开完整技术细节。

此次事件再次暴露出一个趋势:大模型系统正在逐渐具备“工具化能力”,包括文件处理、代码执行、接口调用等。

而一旦这些能力与传统 Web 漏洞结合,攻击面将不再局限于提示词攻击,而是扩展为“LLM + Web + 工具链”的复合型安全问题。

资讯来源:cybersecuritynews

球分享

球点赞

球在看


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:看雪学苑 看雪学苑 看雪学苑《ChatGPT下载链路曝高危漏洞:一句“误导性对话”竟可触达系统文件》

    评论:0   参与:  0