安全公司Tenable Research发布最新研究，揭示ChatGPT存在七项可连锁利用的漏洞，涵盖提示词注入、对话与记忆篡改，以及URL安全检查绕过。研究人员通过多个概念验证，演示攻击者可在用户不知情的情况下窃取聊天内容或个人信息，风险场景包括日常提问、文章摘要或点击链接等操作。

研究人员指出，大型语言模型在处理外部数据时，容易受到提示词注入攻击。Tenable展示了一种零点击（0-click）攻击方式：攻击者先让恶意网站被搜索引擎索引，并识别SearchGPT携带的特定HTTP头与用户代理字符串，仅在检测到这些特征时返回注入内容。当用户询问与该网站相关的问题时，模型在整合搜索结果时便会受到操控，生成被篡改的回复。

另一项高风险漏洞涉及OpenAI的URL安全检查机制（url_safe）。研究人员发现，来自bing.com的链接会被url_safe无条件放行，而Bing搜索结果常以bing.com/ck/a形式包装重定向链接。攻击者可利用此机制，将Bing重定向链接作为安全载体，预先为多个字符配置对应链接，使模型在回复中依次渲染图片或超链接，逐步拼凑出敏感信息。

研究还展示了两种跨模型操控技术：对话注入（Conversation Injection）与记忆注入（Memory Injection）。前者利用ChatGPT参考上下文生成回复的特性，让SearchGPT在输出中嵌入新指令，诱导主模型在后续响应中执行这些指令。后者则进一步要求模型修改用户的记忆内容，使信息泄露行为可在多次对话中持续发生。

研究还指出ChatGPT网页界面存在一键注入问题。当用户点击包含?q=参数的恶意链接时，ChatGPT会自动提交该查询，可能导致即时提示词注入。Tenable表示，OpenAI自年中起已加强防护机制，增加自动提交拦截与URL校验，但部分场景仍存在风险。

Tenable已按负责任披露流程将所有漏洞通报OpenAI，部分问题已修复，但与记忆功能及浏览模块相关的漏洞仍待进一步改进。研究人员提醒，用户在要求ChatGPT摘要含评论区的文章，或直接从搜索结果生成回答时，最容易受到攻击。建议在查询外部内容时，谨慎检查回复中的链接与媒体加载行为。

Tenable强调，这些发现仅为潜在攻击链的演示，目前无证据表明已被大规模利用。但研究再次凸显，大型语言模型在浏览、搜索与记忆功能之间的边界仍需优化。