Специалист получил широкий доступ к песочнице ChatGPT с опцией запуска сторонних скриптов

Марко Фигероа из исследовательской сети Mozilla 0-day (0DIN) обнаружил, что платформа ChatGPT от OpenAI обеспечивает высокий уровень доступа к песочнице LLM, позволяя загружать программы и файлы, выполнять команды и просматривать файловую структуру песочницы.

Песочница ChatGPT — это изолированная среда, которая ограничивает доступ к конфиденциальным файлам и папкам, блокируя доступ к Интернету и пытаясь ограничить команды, которые могут использоваться для эксплуатации уязвимостей.

Фигероа обнаружил, что можно получить расширенный доступ к песочнице, включая возможность загружать и выполнять скрипты Python и загружать книгу сценариев LLM.

В своём отчёте исследователь демонстрирует пять недостатков, о которых он сообщил OpenAI. Однако компания проявила интерес только к одному из них и не предоставила никаких планов по дальнейшему ограничению доступа.

Работая над проектом Python в ChatGPT, Фигероа получил ошибку «Каталог не найден», что позволило ему узнать, насколько пользователь может взаимодействовать с песочницей. Выяснилось, что среда предоставляет широкий доступ к песочнице, позволяя загружать и скачивать файлы, выводить списки файлов и папок, загружать программы и выполнять их, выполнять команды Linux и выводить файлы, хранящиеся там.

Используя такие команды, как «ls» или «list files», исследователь смог получить список всех каталогов базовой файловой системы песочницы, включая «/home/sandbox/.openai_internal/», которая содержала информацию о конфигурации и настройках. Затем он поэкспериментировал с задачами управления файлами, обнаружив, что может загружать их в папку /mnt/data, а также скачивать файлы из любой доступной папки.

В экспериментах BleepingComputer песочница не предоставила доступ к определённым