CVE-2024-31224 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反序列化漏洞（Deserialization） 💥 **后果**：攻击者可利用该漏洞执行 **远程代码 (RCE)**，直接控制服务器。

🔍 **CWE**：CWE-502（反序列化不可信数据） 🐛 **缺陷点**：GPT Academic 在处理数据时未对反序列化对象进行严格校验，导致恶意构造的数据被直接执行。

🎯 **受影响组件**：GPT Academic 📦 **高危版本**：**3.64 到 3.73** 👤 **开发者**：binary-husky

👑 **权限**：最高权限（System/User） 📂 **数据**：完全可控 ⚡ **能力**：攻击者可在目标机器上执行任意命令，窃取数据、植入后门或破坏系统。

📉 **门槛极低** 🔓 **认证**：无需认证 (PR:N) 🌐 **网络**：网络可达即可 (AV:N) 🖱️ **交互**：无需用户操作 (UI:N) 📊 **复杂度**：低 (AC:L)

📄 **PoC**：漏洞数据中未提供公开 PoC 🌍 **在野利用**：暂无明确在野利用报告 ⚠️ **注意**：CVSS 评分极高，存在被自动化利用的高风险。

🔎 **自查方法**： 1. 检查 GPT Academic 版本号是否在 **3.64-3.73** 之间。 2. 扫描服务是否暴露在互联网。 3. 检查日志中是否有异常的序列化对象加载请求。

🛡️ **官方修复**：已修复 🔗 **参考链接**： - 安全公告：[GHSA-jcjc-89wr-vv7g](https://github.com/binary-husky/gpt_academic/security/advisories/GHSA-jcjc-89wr-vv7g) - 修复 Commit：[8af6c0c](https://github.com/binary-husky/gpt_academic/commit/8af…

🚧 **临时规避**： 1. **立即升级**至最新版本（非 3.64-3.73）。 2. 若无法升级，**禁止**将服务暴露至公网。 3. 配置防火墙，仅允许信任 IP 访问。

🔥 **优先级：紧急 (Critical)** 📈 **CVSS**：9.8 (极高) 💡 **建议**：由于无需认证且可远程执行代码，建议 **立即** 升级或隔离受影响实例。