
ChatGPT 檔案下載漏洞已修補:上傳公司文件前要諗清楚
研究者用 prompt injection 引出下載路徑,暴露 AI 文件處理老問題
發生咩事
iThome 報道,資安研究者 zer0dac 7 月初公開一條 ChatGPT 檔案下載漏洞鏈:先用 prompt injection 令模型講出原本唔應該畀嘅下載連結,跟住研究者喺連結背後嘅檔案路徑做路徑遍歷,示範讀到沙箱入面其他系統檔案。OpenAI 截稿前未見為呢單出獨立公告;研究者原文同 iThome 都話 OpenAI 已改咗 URL 下載流程。重點要分清楚:公開資料只指向 ChatGPT 檔案下載機制同沙箱檔案邊界,冇證據顯示整個 ChatGPT 帳戶資料庫外洩。
問題唔止喺模型嗰句回覆
平時你上傳 PDF、CSV 或程式碼畀 ChatGPT 分析,背後唔只係模型讀字,仲有檔案暫存、轉換、下載、權限檢查呢堆普通軟件工程。zer0dac 嘅示範重點擺喺兩層漏洞:模型喺某個對話情境下產生咗可用下載連結;連結入面又帶住可操控嘅路徑參數。研究者再用路徑遍歷越過原本 folder 限制,令 download endpoint 讀到原路徑之外嘅檔案。
呢篇唔列出可照抄嘅攻擊字串;理解件事已經夠:LLM 回覆唔應該成為存取控制。只要真正取檔案嘅 server 端檢查唔夠硬,模型一句「可以下載」就會變成攻擊鏈入面嘅通行證。呢個位好值得記住,因為好多 AI 工具而家都急住加「上傳文件、幫你整理、再輸出檔案」功能,最易漏嘅位好多時藏喺答案後面嗰條檔案管道。
影響範圍要講實
公開資料有幾個位唔好講大。第一,zer0dac 自己寫明執行環境有沙箱隔住,未有直接敏感資料外洩;但佢亦提醒,LFI / path traversal 呢類原始能力可以成為更大攻擊鏈嘅一段。第二,OpenAI 文件上有講 ChatGPT 檔案上傳會受帳戶、Library、chat retention 同企業 workspace 政策影響,但今次披露冇清楚列出 Plus、Business、Enterprise、Edu 或 API 各自有冇受影響。暫時可靠講法係:ChatGPT 檔案下載流程有問題,研究者話已修,API 受影響就未見證據。
上傳文件前,先當佢係真系統
呢單同香港日常辦公其實幾貼地。會計上傳 CSV 做 pivot,學生放論文 PDF 叫 AI 改摘要,開發者成個 repo 壓縮上去搵 bug,HR 拎履歷表叫模型排候選名單,呢啲用法每日都見到。ChatGPT 修補咗今次漏洞,唔代表「上傳就一定安全」。真正要改嘅習慣係:未脫敏嘅客戶名單、薪酬表、合約、未公開產品資料、API key 同內部程式碼,唔好當普通附件咁掉入任何 AI 服務。
公司 IT 最少要做三件事:先分清楚邊類資料可以放入 AI,敏感文件要先遮名、遮身份證、遮金額、移走 secret;再用 Business / Enterprise 類 workspace 管 retention、連接器同權限,唔好每個人各自開私人帳戶搞晒;最後要有審計,知道邊個上傳過咩類文件。開發者自己整 AI 文件功能,就要記住所有下載、讀檔、轉檔都要喺 server 端重新驗證 canonical path,同模型講過乜冇關係,真正權限只可以由後端判斷。
下次要睇 OpenAI 補唔補資料
下一步要睇 OpenAI 會唔會補返清楚啲嘅披露,例如修補日期、受影響方案、ChatGPT Library 同暫存檔案之間嘅邊界點樣收緊。資安上,今次唔算最大鑊,但好有代表性:AI app 一接駁檔案、瀏覽器、程式碼執行、公司文件庫,攻擊面就唔再只係 prompt。用 AI 做文件分析可以好慳時間,但上傳前嗰一秒,仍然要當自己喺交資料畀一個真正系統。
參考來源
- iThome — 研究人員揭露透過提示注入繞過ChatGPT防護機制漏洞,OpenAI已完成修補 — original report
- zer0dac:ChatGPT Guardrail Bypass to LFI Vulnerability POC — 核對研究者原始示範、沙箱限制同修補備註
- OpenAI Help Center:File Uploads FAQ — 核對檔案上傳功能、容量限制、刪除同模型訓練資料說明
- OpenAI Help Center:Chat and File Retention Policies in ChatGPT — 核對 Library、Enterprise retention 同刪除後備份保留說明
- OpenAI:Enterprise privacy at OpenAI — 核對 Business、Enterprise、Edu 同 API 資料使用、訓練同安全承諾
- OWASP:LLM01 Prompt Injection — 補 prompt injection 背景,尤其係外部文件點影響模型行為
- OWASP:LLM02 Sensitive Information Disclosure — 補敏感資料外洩分類同防護建議背景
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







