C
月内に
セキュリティ研究者のzer0dac氏が、ChatGPTのプロンプト注入(Prompt Injection)を利用して、内部のファイルアクセスパスを露出させ…
📌 一言でいうと
セキュリティ研究者のzer0dac氏が、ChatGPTのプロンプト注入(Prompt Injection)を利用して、内部のファイルアクセスパスを露出させ、パストラバーサル攻撃によって制限外のデータを取得できる脆弱性を発見しました。攻撃者は、AIにファイルを編集させ、その後「誤って削除した」と称してダウンロードリンクを要求することで、内部エンドポイントを特定します。OpenAIはこの問題を認識し、URLのダウンロードプロセスを変更することで既に修正を完了しています。
🔍該当判定
- 業務でChatGPT(OpenAI社)を利用している
- ChatGPTに社内資料や顧客データなどのファイルをアップロードして解析させている
- ChatGPTのAPIを利用して自社専用のAIツールを構築・運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
OpenAI側で修正済みであるため、ユーザー側での個別対応は不要ですが、AIへの機密情報の入力や、AIが生成した不審なURLへのアクセスには引き続き注意してください。