ChatGPTの機密情報漏洩の欠陥、ファイルダウンロード機構を悪用

ChatGPTにはすでに修正済みの脆弱性が存在し、ガードレールのバイパスとパストラバーサルの欠陥を組み合わせることで、OpenAIのサンドボックス実行環境内でローカルファイルインクルージョン(LFI)を実現できる状態にありました。

zer0dacというハンドルネームで活動する研究者は、この問題をOWASP LLM02:2025(機密情報漏洩)に分類し、ChatGPTのファイルインタープリターが削除済みファイルへの参照やサンドボックスのパス検証をどのように扱っているかという点の弱点を突きました。

今回の攻撃は、ChatGPTのCode Interpreter(コードインタープリター)/ファイルアップロード機能を標的にしたものです。この機能は通常、セッション終了後にユーザーがアップロードした一時ファイルを削除し、それらのファイルに対するダウンロードリンクの再生成を拒否する仕組みになっています。

研究者は、この制限が従来型のエクスプロイトコードを一切使わずとも、LLMへのプロンプト内で直接ソーシャルエンジニアリング的に回避できることを発見しました。

OpenAIはすでにこの問題に対処済みで、URLダウンロードのフロー自体を全面的に再設計し、ガードレールのバイパスとトラバーサルの経路の両方を塞いでいます。

影響を受けた環境は、機密性の高いユーザーデータを保持するホストシステムではなくサンドボックス化されたコードインタープリターだったため、大規模なデータ漏洩には直接つながりませんでした。

しかしzer0dac氏が指摘しているように、このようなLFI/パストラバーサルのプリミティブは、より長い攻撃チェーンの一環として単独でも価値を持つことが多く、他の欠陥(環境変数の漏洩、設定ファイルの露出、サンドボックスエスケープのバグなど)と組み合わさることでエスカレーションする可能性があります。

今回の開示は、LLM特有の脆弱性というカテゴリーが拡大しつつある実態を浮き彫りにしています。ここでの「エクスプロイト」は従来型のシェルコードではなく会話的な操作であり、プロンプトの流れを工夫することでポリシー層のガードレールとバックエンドの検証ロジックの両方を同時に打ち破るというものです。

これは、LLMに関するOWASP Top 10が警告している内容、すなわち機密情報漏洩のリスクは学習データの流出にとどまらず、AI統合型のバックエンドサービスが自然言語によるリクエストからファイルパスや動的に生成されるセッション状態をどのように検証しているかという部分にも及ぶ、という点を裏付けるものです。

LLMを組み込んだファイル処理システムを構築するセキュリティチームは、システムがすでに下したアクセス制御の判断を、会話の文脈を利用して覆すような類似の「状態混同」バイパスがないか、監査すべきでしょう。

翻訳元: https://cyberpress.org/chatgpt-sensitive-information-disclosure-flaw/

ソース: cyberpress.org