漏洞总结:FastChat 内容审核绕过漏洞 漏洞概述 在 FastChat 的 Chatbot Arena 侧边栏模式(Side-by-Side Views)中,内容审核过滤器未能正确检查对话历史。该漏洞源于错误的数组索引( 而非 ),导致模型 B 的对话历史未被审核。 影响范围 受影响产品: FastChat (pip 包 ) 受影响版本: <= 0.2.36 (截至报告时最新 commit ) 严重程度: Medium-High (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N) 漏洞类型: CWE-670: Always-Incorrect Control Flow Implementation 修复方案 需修正以下三个文件中的数组索引错误,确保使用 获取右侧模型(Model B)的对话历史: 1. (Line 310) 将 修改为 。 2. (Line 245) 将 修改为 。 3. (Line 314-315) [最严重] * 该文件完全缺失 的构建。需参照 的正确实现,添加缺失的代码块以构建包含完整对话历史的 。 POC 代码