研究人员发现,某些第三方ChatGPT插件可以被黑客利用,通过构造特定请求读取用户本地文件或环境变量。攻击利用插件权限校验不足的缺陷,在用户授权后即可实施越权访问。OpenAI已暂时下架部分风险插件,并提醒开发者加强权限校验,遵循最小权限原则。安全建议:在使用第三方插件前务必审查其权限范围,避免授予敏感数据访问权限。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
相关推荐
研究人员发现,某些第三方ChatGPT插件可以被黑客利用,通过构造特定请求读取用户本地文件或环境变量。攻击利用插件权限校验不足的缺陷,在用户授权后即可实施越权访问。OpenAI已暂时下架部分风险插件,并提醒开发者加强权限校验,遵循最小权限原则。安全建议:在使用第三方插件前务必审查其权限范围,避免授予敏感数据访问权限。