OpenAI API Logs: Unpatched data exfiltration
4 months ago
- #Data Exfiltration
- #OpenAI
- #API Security
- OpenAI的API日志查看器存在数据泄露漏洞,暴露了使用OpenAI API的应用和代理程序。
- 该漏洞涉及API日志中不安全的Markdown图片渲染,可能导致敏感数据泄露。
- 经过多次跟进后,OpenAI以「不适用」为由关闭了漏洞报告。
- 攻击链展示了恶意Markdown图片如何通过OpenAI日志查看器窃取数据。
- 使用OpenAI「responses」和「conversations」API构建的系统(包括Agent Builder和Assistants)均受影响。
- 用于测试AI工具的预览界面同样存在不安全的Markdown渲染问题,扩大了攻击面。
- 当在OpenAI平台查看日志时,内容安全策略等替代防御措施可能被绕过。
- 负责任的披露流程最终以OpenAI判定该报告「不适用」告终。