发现该漏洞的研究人员指出，缓解措施并不完美，攻击者仍然可在某些条件下利用该漏洞。另外，ChatGPT 的iOS 移动应用版本尚未执行安全检查，因此该平台上的风险仍然未得到解决。

安全研究员 Johann Rehberger 发现通过利用技术可从 ChatGPT 提取数据并在2023年4月报送给 OpenAI 公司。随后，Rehberger 在2013年11月13日提供了关于创建利用该漏洞钓鱼用户的恶意 GPT 的更多信息。Rehberger 表示，报告工单在11月15日被判为“不适用”被关闭。随后他发送的两次问询邮件都未得到回复，因此选择公开提醒大家注意。

GPT 是被称为 “AI 应用”的自定义AI模型，发挥多种作用如客户支持代理、协助协作和翻译工作、执行数据分析、基于已有原料构造烹饪秘诀、收集研究数据甚至可以玩游戏。

Rehberger 在12月12日披露了该漏洞，演示了一个自定义的名为 “The Thief!”的GPT，可将会话数据提取到由研究员操纵的一个外部URL。数据盗取涉及镜像标记渲染和提示注入，因此攻击要求受害者提交攻击者直接提供的恶意提示，或者贴到某个受害者发现和使用的地方。

就像 Rehberger 演示的那样，也可使用恶意 GPT，而使用该 GPT 的用户不会意识到自己的会话详情以及元数据（时间戳、用户ID、会话ID）和技术数据（IP地址、用户代理字符串）被提取到了第三方。

Rehberger 将该漏洞详情发布后，OpenAI 调用验证API 执行客户端检查，阻止来自不安全URL的镜像进行渲染。Rehberger 在一篇新文章中提到，“当服务器返回带有超链接的镜像标记时，在决定展示镜像之前，会有验证API的 ChatGPT 客户端调用。由于 ChatGPT 并非开源，因此修复方案并非通过内容安全策略推送的，因此确切的验证详情尚不知晓。”

研究人员提到，在某些情况下 ChatGPT 仍然会将请求渲染到任意域名，因此攻击有时候仍然起作用，即使是测试同一个域名也会出现差距。由于决定URL是否安全的检查详情尚不清楚，因此还无法知道这些差距的确切原因。然而，值得注意的是利用该漏洞噪音更多、具有数据传输率限制以及更慢。

另外，客户端验证调用尚未在 iOS 移动应用上执行，因此攻击完全未缓解。

目前尚不清楚该修复方案是否推送到安卓版的 ChatGPT，目前该版本在 Google Play 上的下载量已经超过1000万次。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~