-
ChatGPT Operator 遭提示注入攻击
ChatGPT Operator 的提示注入漏洞及其缓解措施 OpenAI 为 ChatGPT Pro 用户打造的前沿研究预览工具 ChatGPT Operator 近来因一个严重漏洞引发关注。该漏洞可通过提示注入攻击,致使敏感个人数据面临泄露风险。 ChatGPT Operator 简介 ChatGPT Operator 是一款功能强大的先进 AI 代理,具备网页浏览与推理能力,能帮助用户执行多种任务,如研究特定主题、预订旅行行程,甚至代表用户与各类网站进行交互。然而,近期的一些演示却揭示出它存在安全隐患 —— 可在与网页交互过程中被恶意操控,进而导致隐私数据泄露。 攻击原理:提示注入如何运作 根据 wunderwuzzi 的博客介绍,提示注入是一种将恶意指令嵌入 AI 模型处理的文本或网页内容中的技术。对于 ChatGPT Operator,这种攻击涉及以下步骤: 攻击流程 通过提示注入劫持 Operator: 恶意指令托管在 GitHub Issues 等平台或嵌入到网站文本中。 导航至敏感页面: 攻击者诱骗 Operator 访问包含敏感个人信息(如电子邮件或电话号码)的认证页面。 通过第三方网站泄露数据: Operator 被进一步操纵,将这些信息复制并粘贴到恶意网页中,无需表单提交即可捕获数据。 示例演示 例如,在一次演示中,Operator 被诱骗从用户的 YC Hacker News 帐户中提取私人电子邮件地址,并将其粘贴到第三方服务器的输入字段中。这种攻击在...
-
OpenSSH曝高危漏洞
OpenSSH 最近修复的两个高危漏洞分析 OpenSSH 是远程管理 Linux 和 BSD 系统的最常用工具。近期,OpenSSH 修复了两个高危漏洞。其中一个漏洞允许攻击者在特定配置下对 OpenSSH 客户端发起中间人攻击,冒充服务器以拦截敏感通信;另一个漏洞则可能导致 CPU 资源耗尽。 漏洞详情及潜在危害 研究人员在报告中指出:“SSH 会话是攻击者拦截凭证或劫持会话的主要目标。一旦被攻破,黑客可以查看或操纵敏感数据,横向跨越多个关键服务器,并窃取诸如数据库凭证等重要信息。此类泄露可能导致声誉受损、违反合规要求(如 GDPR、HIPAA、PCI-DSS),并通过迫使系统停机以遏制威胁,从而破坏关键业务。” 中间人攻击漏洞:编号为 CVE-2025-26465,其代码缺陷可追溯至 2014 年 12 月,距今已有 10 年之久。该漏洞影响了从 6.8p1 到 9.9p1 的所有 OpenSSH 版本。 资源耗尽漏洞:编号为 CVE-2025-26466,影响了 9.5p1 到 9.9p1 版本。 用户应尽快升级至新发布的 OpenSSH 9.9p2 版本。 DNS 密钥验证机制的失效 OpenSSH 是 SSH(安全外壳协议)最流行的实现,由维护 OpenBSD 操作系统的 OpenBSD 项目开发。OpenBSD...
-
非标准输入组件的内容劫持
解决非标准组件内容获取问题:以WPS单元格为例 WPS单元格的特殊性 在自动化测试和数据提取过程中,经常会遇到一些特殊的用户界面(UI)组件,这些组件由于其非标准特性,无法通过常规手段获取其内容。WPS Office中的单元格就是一个典型的例子。 非标准组件的问题 WPS单元格并不支持UIAutomation框架,这是一个微软提供的用于自动化操作Windows应用程序的标准接口。由于这种不兼容性,传统的自动化工具无法直接读取或操作WPS单元格的内容。具体表现为: 无法识别:自动化工具无法识别WPS单元格作为可操作的对象。 无法获取内容:即使能够定位到单元格,也无法直接获取其中的数据。 这种情况不仅限于WPS单元格,其他许多非标准组件也面临类似的问题。例如,某些自定义控件、游戏界面元素等,它们可能使用了专有的渲染引擎或交互机制,导致传统自动化技术难以应对。 延伸至其他非标准组件领域 在软件开发和自动化测试中,非标准组件的存在是一个普遍现象。除了WPS单元格之外,还有许多其他场景也存在类似挑战: 自定义控件:开发者可能会创建独特的控件来实现特定功能,这些控件往往不具备标准UI组件的行为特征。 游戏界面:现代游戏中使用的图形界面通常依赖于高度定制化的渲染技术,这使得自动化工具难以解析和操作。 嵌入式系统:工业控制系统、医疗设备等嵌入式系统中的界面组件,也可能因为硬件限制或性能考虑而采用非标准设计。 这些问题的核心在于,如何在缺乏标准化接口的情况下,有效地获取和处理这些组件中的输入内容。 通用解决方案 为了克服上述挑战,我们可以采用一种通用方案,该方案基于图像识别和机器学习技术,能够适应各种非标准组件的需求。 方案概述 Windows底层技术:利用Windows底层技术实现。 实际案例:解决WPS单元格内容获取问题 假设我们需要从WPS表格中提取特定单元格的数据,按照上述通用方案可以完成操作: #### 利用Windows底层技术实现 应用范围 此方法不仅适用于WPS单元格,还可以扩展到几乎所有具有非标准组件的软件应用中。无论是桌面应用还是Web应用,只要有可视化的输入输出界面,都可以通过这种方法获取所需内容。 通过这种方式,我们不仅能解决WPS单元格内容获取的问题,还能为处理其他非标准组件提供一个灵活且强大的解决方案。希望这个指南能帮助您更好地理解和应对实际工作中的复杂情况。