当企业争相接入大模型以提升效率时,安全防线却在悄然出现裂缝。最新披露的一项攻击技术表明,攻击者可以借助 ChatGPT 的“文件下载”功能,读取部署环境中的系统文件,将 AI 平台变成突破内网的跳板。这不是大模型本身的幻觉或越狱问题,而是一次经典的 SSRF 类攻击在 AI 生态中的变种——其后果却可能远超传统漏洞。

一、漏洞原理:一份文档如何泄露服务器密码?

ChatGPT(以及多数具备联网或代码执行能力的 AI 平台)允许用户上传文件供模型分析,并在某些场景下提供“下载链接”让用户取回处理后的结果。问题就出在 这个下载链接的生成与访问机制 上。

攻击者通过上传一个精心构造的文件,诱导 ChatGPT 的底层服务在生成下载链接时,引用了本地文件系统的路径而非远程 URL。当用户或系统去访问该链接时,服务器未对目标地址做充分校验,便将本地文件的内容当作响应返回。这样一来,攻击者就可能读取到服务器上的任意文件,例如:

  • /etc/passwd(系统用户信息)

  • ~/.ssh/id_rsa(SSH 私钥)

  • 环境变量中的 API 密钥与数据库密码

  • 云服务的元数据接口(如 AWS 的 http://169.254.169.254/latest/meta-data/

在云计算环境中,元数据接口被成功读取往往意味着整个云账号的临时凭证泄露,几秒钟内就可能被攻击者接管。

二、攻击路径拆解:从聊天框到内网

结合已知的同类攻击模式,这一利用过程可以拆解为清晰的三步:

  1. 投递恶意载荷
    攻击者上传一个包含“引用本地文件”指令的 Markdown、HTML 或特定代码文件。AI 平台在处理时,会将其转化为一个内部的资源请求。

  2. 触发不当资源访问
    AI 的下载服务在解析该请求时,未能区分“外部 URL”和“本地文件路径”,导致服务端发起了一个指向本机文件系统的读取操作。这本质上是 SSRF(服务端请求伪造) 与 路径遍历 的结合。

  3. 数据外传
    被读取的文件内容被嵌入下载响应中返回给攻击者,或者通过 AI 生成的回复间接泄露出来。

值得注意的是,这类攻击并不需要大模型本身“变坏”,它的漏洞点在于 为大模型提供额外能力的周边服务——文件处理、联网搜索、代码解释器等。这些服务往往以高权限运行,并与内部系统共享网络与凭证,一旦被 SSRF 击穿,隔离边界便形同虚设。

三、风险为何被放大?

很多人会把这种漏洞当作常规的 SSRF 来看待,但在 AI 平台中,风险显著放大,原因有三:

  • 信任链的错位:安全团队通常把 AI 平台视为“内部工具”,给予了较大的网络访问权限,却忽视了它同样接受来自用户的非结构化输入。

  • 多能力聚合:文件下载、代码执行、联网检索等功能聚合在同一实体下,任何一个模块的缺陷都可能产生连锁反应。

  • 难以封堵的元数据端点:在云原生环境中,内部元数据服务(如 169.254.169.254)是必需的,而 AI 服务往往被部署在能够访问该端点的网络位置。

四、如何防御?从开发到运维的三层加固

针对这类将 AI 平台作为攻击入口的威胁,企业和开发者可以从以下三个层面进行防护:

1. 应用层:强制输入校验与路径白名单

  • 对文件下载链接生成器实施严格的 路径白名单机制,仅允许访问指定的存储桶或临时目录,禁止引用本地文件系统路径。

  • 对所有用户上传的文件内容进行解析时,移除或转义可能导致服务端请求的指令标签(如 Markdown 中引用的 file:// 协议、HTML 中的 <iframe> 等)。

2. 网络层:加固 SSRF 防护与元数据访问控制

  • 为 AI 服务所在容器或主机配置 严格的出站网络策略,禁止访问 169.254.169.254localhost、私有 IP 段等内部地址。

  • 在反向代理或防火墙层面,使用域名白名单过滤 AI 服务发起的请求,阻断任何指向内部资产的连接。

3. 架构层:权限最小化与隔离

  • AI 平台的文件处理服务应运行在独立的低权限容器中,使用专用服务账户,不挂载宿主机敏感目录,不持有任何云平台访问密钥。

  • 将文件下载功能与核心 AI 推理服务解耦,下载服务对外暴露的接口仅返回真正由用户上传或经授权生成的资源,禁止动态读取任意路径。

五、结语:每个新能力都是新攻击面

ChatGPT 文件下载功能被利用一事,是 AI 时代攻击面扩张的典型案例。它提醒我们:大模型本身的安全只是冰山一角,真正的风险常常潜伏在那些“辅助功能”里。当企业将 AI 平台嵌入业务流程时,必须将其视为 潜在的被攻击入口,用对待互联网业务的同等甚至更严格的标准去审视每个文件上传、每次代码执行、每个外链请求。

对于普通用户而言,核心提醒很简单:不要在 ChatGPT 等平台上传包含任何敏感凭证、配置信息或内部地址的文件。你眼里的一份参考文档,在攻击者手里可能就是开启内网的钥匙。

Logo

AtomGit AI 社区提供模型库、数据集、Agent、Token等资源

更多推荐