![ChatGPT漏洞允许攻击者在共享对话中嵌入恶意SVG与图像文件]( "ChatGPT漏洞允许攻击者在共享对话中嵌入恶意SVG与图像文件")
Part01
漏洞详情
研究人员发现ChatGPT存在一个严重安全漏洞(编号CVE-2025-43714),攻击者可利用该漏洞将恶意SVG(可缩放矢量图形)和图像文件直接嵌入共享对话中,可能导致用户遭受复杂的钓鱼攻击或接触到有害内容。该漏洞影响截至2025年3月30日的所有ChatGPT系统版本。
安全专家发现,当用户重新打开或通过公开链接共享对话时,ChatGPT会错误地执行SVG代码,而非将其作为代码块中的文本显示。这种行为实际上在该AI平台中创建了一个存储型跨站脚本(XSS)漏洞。
攻击原理
与JPG或PNG等常规图像格式不同,SVG文件是基于XML的矢量图像,可以包含HTML脚本标签——这是该格式的合法功能,但如果处理不当则十分危险。当这些SVG文件以内联方式而非代码形式呈现时,嵌入的标记会在用户浏览器中执行。
研究人员zer0dac指出:"ChatGPT系统在2025年3月30日之前版本会内联渲染SVG文档,而非将其作为代码块中的文本显示,这使得攻击者能在大多数现代图形网页浏览器中实施HTML注入。"
潜在危害
攻击者可精心设计看似合法的SVG代码嵌入欺骗性信息。更令人担忧的是,恶意行为者可能创建包含诱发癫痫的闪烁效果的SVG文件,对光敏性个体造成伤害。
其他平台的类似漏洞报告指出:"SVG文件可包含嵌入式JavaScript代码,当图像在浏览器中渲染时就会执行。这会产生XSS漏洞,使恶意代码能在其他用户会话上下文中执行。"
应对措施
据报道,OpenAI在收到漏洞报告后已采取初步缓解措施,暂时禁用链接共享功能,但彻底修复底层问题的方案仍在开发中。安全专家建议用户谨慎查看来自未知来源的共享ChatGPT对话。
该漏洞尤其令人担忧,因为大多数用户对ChatGPT内容存在天然信任,不会预期平台会出现视觉操控或钓鱼尝试。安全研究人员强调:"即使没有JavaScript执行能力,视觉和心理操控仍构成滥用行为,特别是当可能影响他人健康或欺骗非技术用户时。"
这一发现凸显出,随着AI聊天界面日益融入日常工作流程和通信渠道,防范传统网络漏洞的重要性正与日俱增。
参考来源:
ChatGPT Vulnerability Lets Attackers Embed Malicious SVGs & Images in Shared Chatshttps://cybersecuritynews.com/chatgpt-vulnerability-malicious-images/
推荐阅读
电台讨论![ChatGPT漏洞允许攻击者在共享对话中嵌入恶意SVG与图像文件]( "ChatGPT漏洞允许攻击者在共享对话中嵌入恶意SVG与图像文件")
原文始发于微信公众号(FreeBuf):ChatGPT漏洞允许攻击者在共享对话中嵌入恶意SVG与图像文件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4087637.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论