Открита е верига от уязвимости (proof-of-concept) в ChatGPT, която комбинира заобикаляне на защитните ограничения с уязвимост от тип „преминаване през директории“ (path traversal). Това потенциално позволява на атакуващите да получат достъп до ограничени системни файлове, като например /etc/passwd, чрез механизма за изтегляне на файлове на платформата.
Според изследователя по сигурността zer0dac, OpenAI вече е отстранила проблема, като е променила дизайна на процеса за изтегляне чрез URL адреси.
Веригата за експлоатация включва четири стъпки, започващи с рутинно качване на файл и завършващи с локално включване на файлове (LFI):
- Качване на файл: Изследователят качва тестов HTML файл в ChatGPT за преглед, създавайки изолиран (sandboxed) път до файла.
- Заобикаляне на защитата: При директна заявка за връзка за изтегляне на файла, ChatGPT отказва, позовавайки се на стандартната политика за изтриване след временно съхранение. Това съответства на категорията OWASP LLM02:2025 (Разкриване на чувствителна информация).
- Социално инженерство на LLM: Чрез първоначална заявка за редактиране на качения файл, последвана от твърдение, че файлът е бил „случайно изтрит“, и искане на нова връзка за изтегляне, изследователят подмамва ChatGPT да генерира валиден URL адрес за изтегляне, заобикаляйки изцяло ограничението за изтриване.
- Прихващане на крайна точка: Генерираната връзка разкрива структурата на бекенд API:
/backend-api/conversation/{id}/interpreter/download?message_id={id}&sandbox_path=/mnt/data/test.html.
С валидна крайна точка за изтегляне, изследователят се насочва към параметъра sandbox_path. Вместо обикновен тестов полезен товар като ../../../../etc/passwd, който би бил блокиран от проверките за валидиране, изследователят запазва оригиналния легитимен път и добавя символите за преминаване след него: /mnt/data/test.html/../../../../etc/passwd.
Тази техника експлоатира непоследователното нормализиране на пътищата, подмамвайки логиката за валидиране да третира заявката като легитимен достъп до файл, докато в същото време преминаването се разрешава извън изолираната директория. При директен достъп в браузър, този манипулиран URL адрес успешно връща съдържанието на /etc/passwd от средата за изпълнение на ChatGPT.
Практическото въздействие е ограничено, тъй като средата за изпълнение на код на ChatGPT е изолирана (sandboxed), което означава, че не е възникнало пряко разкриване на чувствителни данни от достъпа до общ системен файл.
Въпреки това, случаят подчертава важна точка за сигурността на изкуствения интелект: уязвимости като LFI и path traversal, дори и открити изолирано, могат да служат като градивни елементи в по-големи вериги от експлойти, особено в агентни или разширени с инструменти LLM архитектури.