Песочница ChatGPT открывает доступ к файлам ОС и внутренней кухне LLM

Татьяна Никитина 18 Ноября 2024 - 16:13

...

Песочница ChatGPT открывает доступ к файлам ОС и внутренней кухне LLM

Как оказалось, ИИ-бот OpenAI при правильных наводящих вопросах может слить дерево файлов и папок хост-системы, а также плейбук с правилами общения с пользователями. Возможны также загрузка и запуск программ, но только в пределах изолированной среды.

Недокументированные возможности песочницы ChatGPT, грозящие раскрытием конфиденциальной информации, обнаружил эксперт Mozilla Марко Фигероа (Marco Figueroa). Разработчики приняли отчет к сведению, но ужесточать ограничения по доступу не планируют.

В ходе работы над Python-проектом умный помощник выдал исследователю ошибку «directory not found» («каталог не найден»), которая и раскрыла наличие доступа к файловой системе. Заинтересовавшись, Фигероа попросил перечислить файлы, вставив в запрос строку list files (англоязычный аналог Linux-команды ls).

В ответ ChatGPT вывел список файлов и директорий, характерных для Linux: bin, dev, tmp, sys и т. п. Экспериментатор пришел к выводу, что ИИ-бот работал на каком-то дистрибутиве, скорее всего Debian, в контейнерной среде; конфигурационные данные содержались в папке /home/sandbox/.openai_internal/.

Также выяснилось, что расширенный доступ позволяет выполнять действия над файлами: загружать, скачивать, перемещать, запускать на исполнение. Так, Фигероа удалось загрузить и запустить в песочнице простенький Python-скрипт, выводящий на экран приветствие «Hello, World!» (в BleepingComputer поставили такой же опыт со сценарием поиска файлов TXT).

Подобные возможности, по словам эксперта, повышают прозрачность и функциональность, но создают риск злоупотреблений, который, впрочем, смягчает надежная изоляция рабочей среды.

Фигероа также смог, используя инъекцию стимула, скачать плейбук ChatGPT, содержащий директивы по взаимодействию с пользователями. Знакомство с внутренними механизмами ИИ-модели, по мнению эксперта, облегчает внедрение вредоносных подсказок и обход ограничений LLM.

«В документации эти возможности не отражены, — подчеркнул исследователь, комментируя свои находки для Dark Reading. — Полагаю, это просто недоработка проекта. В какой-то момент объявится 0-day, и тогда случится беда».

В ответ на запрос репортера представитель OpenAI заявил, что находки эксперта на уязвимость не тянут, и в подобном поведении ничего неожиданного нет.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Апреля 2026 - 12:44

iOS Общее Защита персональных данных Защита мобильных устройств Защита мобильных устройств

ФБР восстановило сообщения Signal с iPhone через уведомления iOS

Стало известно, что ФБР смогло извлечь содержимое удалённых сообщений Signal с iPhone, используя данные из внутренней базы уведомлений iOS. Речь идёт о деле, связанном с группой людей, которых обвиняли в поджоге фейерверков и вандализме на территории центра содержания мигрантов ICE Prairieland Detention Facility в Техасе.

Об этом сообщает 404 Media со ссылкой на материалы недавнего судебного разбирательства в США.

В ходе процесса агент ФБР Кларк Уиторн рассказал о собранных доказательствах. Как следует из описания, входящие сообщения Signal удалось восстановить с телефона обвиняемой Линетт Шарп даже после того, как само приложение было удалено с устройства.

Судя по этим данным, сообщения сохранились во внутреннем хранилище уведомлений Apple. При этом речь шла только о входящих сообщениях — исходящие, как утверждается, получить не удалось.

Как отмечает 404 Media, в Signal есть настройка, которая скрывает текст сообщения в уведомлениях. Но, судя по всему, в этом случае такая защита включена не была. Именно поэтому содержимое входящих сообщений могло попасть в системную базу уведомлений и сохраниться там даже после удаления самого мессенджера.

Технических подробностей о том, как именно ФБР добралось до этих данных, пока нет. Многое зависит от состояния устройства на момент извлечения информации: был ли iPhone заблокирован, разблокирован, находился ли он в режиме до первой разблокировки или уже после неё. У iOS в каждом таком сценарии свои ограничения на доступ к данным.

Тем не менее сама история хорошо показывает, что iPhone хранит довольно много локальной информации, полагаясь на внутренние механизмы защиты. Это удобно для пользователя, но в отдельных ситуациях может сыграть и против него — особенно если уведомления содержат личный текст.

Ещё один любопытный момент связан с пуш-уведомлениями. Как подчёркивается в публикации, токен для их доставки не обязательно сразу перестаёт работать после удаления приложения. То есть сервер может продолжать отправлять уведомления, а уже сам iPhone решает, как с ними поступать. Это теоретически тоже могло повлиять на сохранение данных.

На этом фоне особенно интересно выглядит недавнее изменение в iOS 26.4, где Apple обновила механизм проверки пуш-токенов. Прямой связи с этим делом никто не подтверждал, но совпадение по времени выглядит примечательно.

Напомним, недавно ФБР столкнулось с неожиданным препятствием при расследовании утечки конфиденциальных данных: Lockdown Mode на iPhone журналистки Washington Post фактически заблокировал доступ к содержимому устройства.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!