Дослідник зумів змусити ChatGPT видати приховані системні файли через звичайний діалог. Уразливість уже закрили, але вона показала слабкі місця захисту ШІ.
Про це повідомляє Cyber Press.
Дослідник під псевдонімом zer0dac виявив у OpenAI ChatGPT вразливість класу LFI (локальне включення файлів) та Path Traversal. Ці помилки дозволяли виходити за межі дозволеної директорії та отримувати доступ до внутрішніх файлів системи.
Атака була спрямована на функцію Code Interpreter та механізм завантаження файлів. У нормальному режимі система видаляє тимчасові файли після завершення сесії й блокує повторне завантаження.
Однак дослідник зміг обійти цей захист за допомогою соціальної інженерії та спеціально сформованого запиту.
Отримане посилання показало структуру бекенду OpenAI, зокрема механізм завантаження файлів із “пісочниці”. Після цього до легального шляху було додано ланцюжок переходів між каталогами.
Такий прийом дозволив системі сприйняти запит як безпечний, хоча внутрішній механізм фактично відкрив системний файл /etc/passwd із ізольованого середовища.
За словами дослідника, це показало, що навіть проста текстова взаємодія може змусити ШІ порушити власні правила безпеки.
У OpenAI вже підтвердили проблему та оперативно її усунули. Компанія повністю переписала механізм завантаження файлів за URL і закрила обидва сценарії атаки.
Водночас масштабного витоку даних не сталося, оскільки вразливість стосувалася лише ізольованої “пісочниці”, а не основних серверів із персональними даними користувачів.
Дослідник попередив, що подібні баги часто стають першим кроком до складніших атак, які можуть відкрити доступ до змінних середовища або інших критичних елементів системи.
