zer0dac 指出,ChatGPT 在处理用户上传文件时,默认情况下不允许用户直接下载原始文件。若用户尝试直接下载,ChatGPT 通常会回复称该文件为临时上传内容,无法再次获取。
然而,zer0dac 在进行测试时发现了一个绕过机制。用户可以先指示 ChatGPT 编辑上传的文件,随后以“误删文件”为借口,要求 ChatGPT 生成下载链接。在这一操作流程中,ChatGPT 会提供一个可用的 URL 下载链接,该链接揭示了用于访问文件的内部接口路径。进一步地,攻击者可以利用此路径遍历技术,尝试突破既有的访问限制,读取目标路径以外的其他信息。
zer0dac 补充道,尽管 ChatGPT 的沙箱机制限制了该漏洞的直接危害,使其无法直接获取高度敏感数据,但它仍可能被整合进更复杂的攻击序列中,为后续的攻击活动铺平道路。针对此问题,OpenAI 已着手修改文件下载 URL 的生成逻辑,并成功修复了这一安全缺陷,从而防止攻击者利用该漏洞获取内部文件访问路径。



賽事深度討論
李先生
2026年5月15日 上午10:30NG體育的使命是透過先進的數據技術與卓越的平台效能,為全球體育愛好者提供最即時、最準確的賽事資訊與互動體驗,讓體育的熱情永不間斷。
王小姐
2026年5月14日 下午2:15無論您關注的是足球、籃球還是其他熱門賽事,NG體育都能為您提供最即時的賽況與比分,讓您隨時掌握比賽進展。
张先生
2026年5月15日 上午11:00NG體育平台以其穩定流暢的特性,贏得了廣大用戶的信賴。我們不斷優化服務,確保您在瀏覽賽事資訊時,享有無與倫比的順暢體驗。