一、 漏洞 CVE-2025-7021 基础信息
漏洞信息
                                        # OpenAI Operator - 通过在全屏锁定操作者进行API欺骗

## 概述
Fullscreen API 操纵和 UI 重定向漏洞存在于 OpenAI Operator SaaS 中,该漏洞允许远程攻击者通过显示欺骗性的全屏界面来捕获敏感用户输入(例如登录凭证、电子邮件地址),并使用伪装的浏览器控件和分心元素(如 cookie 同意屏幕)来遮挡全屏通知,从而诱使用户与恶意网站进行交互。

## 影响版本
无具体版本说明。

## 细节
1. **Fullscreen API 操纵**:攻击者利用 Fullscreen API 操纵来显示一个欺骗性的全屏界面。
2. **UI 重定向**:使用伪装的浏览器控件和分心元素(如 cookie 同意屏幕)来遮挡全屏通知。
3. **敏感数据捕获**:攻击者通过用户与恶意界面的交互来捕获敏感用户输入,如登录凭证、电子邮件地址。

## 影响
该漏洞可以让攻击者诱骗用户输入敏感信息并捕获这些数据,导致用户数据泄露,并可能进一步被用于身份盗用。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
OpenAI Operator - API Spoofing through Locking Operator on FullScreen
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Fullscreen API Spoofing and UI Redressing in the handling of Fullscreen API and UI rendering in OpenAI Operator SaaS on Web allows a remote attacker to capture sensitive user input (e.g., login credentials, email addresses) via displaying a deceptive fullscreen interface with overlaid fake browser controls and a distracting element (like a cookie consent screen) to obscure fullscreen notifications, tricking the user into interacting with the malicious site.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
关键信息的UI错误表达
来源:美国国家漏洞数据库 NVD
漏洞标题
OpenAI Operator 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
OpenAI Operator是美国OpenAI个人开发者的一个人工智能代理。 OpenAI Operator存在安全漏洞,该漏洞源于全屏API和UI渲染处理不当,可能导致远程攻击者通过欺骗性全屏界面捕获敏感用户输入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-7021 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-7021 的情报信息