Check Point Research 发现 ChatGPT 代码运行环境中隐藏的对外信道

Q: 这次漏洞可能导致哪些数据泄露？

用户分享的敏感数据、AI生成的摘要和结论，以及对话中的特定内容，都可能泄露到外部服务器。

Q: 为什么这个漏洞能够绕过现有的安全措施？

直接的网络访问被阻止，但DNS名称解析仍然可用。DNS通信未被归类为数据共享，因此被滥用为隐蔽的传输机制。

Q: OpenAI何时修复了这个漏洞？

收到Check Point Research的报告后，OpenAI确认已于2026年2月20日完全部署修复。

网络安全解决方案的先驱和全球领导者 Check Point Software Technologies ( Check Point® Software Technologies Ltd. ，NASDAQ: CHKP，以下简称 Check Point) 的威胁情报部门 Check Point Research (以下简称 CPR) 发表了调查结果，发现 ChatGPT 代码运行运行时环境中存在隐藏的对外通信路径，并证明了其恶用可能性。此漏洞可能允许通过单一恶意提示，在未经用户通知或批准的情况下，将对话数据泄露到外部服务器。OpenAI 在收到 CPR 的报告后，已确认于2026年2月20日完全部署修复。 主要调查结果 CPR 发现，单一恶意提示可能将 ChatGPT 与用户的正常会话转变为秘密数据泄露信道。除了用户分享的敏感数据外，AI 生成的摘要和结论也可能被泄露到外部。 利用基于 DNS 的隐藏通信路径的攻击能够规避 AI 安全措施。此外，还可以在 ChatGPT 的运行时环境中运行远程命令。 将此处理嵌入到自订 GPT 中，可以将其恶用为更广泛的威胁，而非一次性风险。 在收到 CPR 提供的信息后，OpenAI 已针对此漏洞实施了修复 (截至2026年2月20日)。目前尚未确认实际的恶用情况。 发现背景 ChatGPT 等 AI 助理目前正迅速处理个人最敏感的一些数据。用户向 AI 助理咨询症状和病史、上传财务文档、审阅合约内容、分享个人文档内容等。在许多情况下，这些行为都基于对 AI 助理所分享数据将安全地保留在系统内部的信任。 ChatGPT 本身也说明，对外数据传输受到限制、可见且受管理。敏感数据本不应仅因提示要求而传输给任意第三方，并且代码运行环境的直接外部访问也应受到限制。CPR 发现的正是绕过此模型的路径。 单一恶意提示导致秘密数据泄露 CPR 发现，单一恶意提示可能将与 ChatGPT 的正常对话转变为隐藏的泄露信道。在此情况下，一旦触发，对话中的特定内容，例如用户消息、上传的文档或 AI 生成的摘要，都可能在没有任何警告或批准的情况下被传输到外部。 图1：容器内部尝试连接外部网络被阻止的画面 从用户的角度来看，助理会像往常一样回应，平台上不会显示任何警告或批准对话框。在幕后，选定的内容正在悄悄地从对话中泄露。 ChatGPT 具备防止未经授权数据共享的安全措施。从用户的角度来看，对外数据传输应该是受限制、透明且基于同意的。然而，这次的漏洞并非直接突破 ChatGPT 的安全措施，而是完全规避了它们。 漏洞机制：规避现有安全措施 此漏洞并非利用 HTTP 请求或外部 API 等明显的外部通信路径，而是利用 ChatGPT 用于代码运行和数据分析的 Linux 运行时环境中隐藏的侧信道。尽管直接的网络访问按设计被阻止，但 DNS 名称解析作为正常系统操作的一部分仍然可用。 DNS 通常被视为用于解析域名无害的基础设施，不被认为用于数据传输。然而，DNS 可以通过将信息加密为域名查找，被恶用为隐蔽的传输机制。其原因在于 DNS 通信未被归类为外部数据共享。因此，批准对话框的显示、警告或模型本身对操作风险的识别，都未被触发。 单一提示触发 攻击可以由单一恶意提示触发，从那时起，对话中的所有新消息都成为潜在的泄露源。重要的是，攻击者无需窃取整个文档。提示可以指示模型仅提取和发送最有价值的信息，例如摘要、结论、诊断或战略见解。而且在许多情况下，这些 AI 生成的输出比原始输入数据更敏感。 这种方法自然地融入了正常使用。许多用户定期从博客、论坛和社交媒体拷贝提示，这些提示声称可以提高生产力或提供「隐藏功能/技巧」。 当嵌入到自订 GPT 中时，类似的攻击模式会变得更加危险。在这种情况下，攻击者无需等待受害者从外部拷贝提示，他们可以直接将恶意处理嵌入到 GPT 的指令或文档中。用户只需打开 GPT 并像往常一样操作，敏感信息就会泄露。 作为概念验证，CPR 构建了一个充当「私人医生」的 GPT。当将检测结果的 PDF 上传到此 GPT 时，患者的个人信息和医疗评估在完全正常的交互背后被发送到攻击者的服务器。当直接询问 ChatGPT 是否已将数据发送到外部时，它回答说根本没有发送任何内容。 图2：远程服务器接收提取数据，而ChatGPT否认外部数据传输 风险从个人隐私扩大到平台层面 此隐藏通信信道也被发现可用于数据泄露以外的目的，例如在 ChatGPT 的运行时环境中运行远程命令。CPR 证明，通过 DNS 查找发送命令并通过相同路径接收结果，可以在用于代码运行的 Linux 环境中创建远程 shell。这在模型安全检查之外运行，并且从聊天接口不可见。这突显了此漏洞可能带来平台级别的安全风险，而不仅仅是个人隐私问题。 对受

常見問題