Check Point Research 發現 ChatGPT 程式碼執行環境中隱藏的對外通道

Q: 這次漏洞可能導致哪些數據洩露？

用戶分享的敏感數據、AI生成的摘要和結論，以及對話中的特定內容，都可能洩露到外部伺服器。

Q: 為什麼這個漏洞能夠繞過現有的安全措施？

直接的網路存取被阻止，但DNS名稱解析仍然可用。DNS通訊未被歸類為數據共享，因此被濫用為隱蔽的傳輸機制。

Q: OpenAI何時修復了這個漏洞？

收到Check Point Research的報告後，OpenAI確認已於2026年2月20日完全部署修復。

網路安全解決方案的先驅和全球領導者 Check Point Software Technologies ( Check Point® Software Technologies Ltd. ，NASDAQ: CHKP，以下簡稱 Check Point) 的威脅情報部門 Check Point Research (以下簡稱 CPR) 發表了調查結果，發現 ChatGPT 程式碼執行運行時環境中存在隱藏的對外通訊路徑，並證明了其惡用可能性。此漏洞可能允許透過單一惡意提示，在未經用戶通知或批准的情況下，將對話數據洩露到外部伺服器。OpenAI 在收到 CPR 的報告後，已確認於2026年2月20日完全部署修復。 主要調查結果 CPR 發現，單一惡意提示可能將 ChatGPT 與用戶的正常會話轉變為秘密數據洩露通道。除了用戶分享的敏感數據外，AI 生成的摘要和結論也可能被洩露到外部。 利用基於 DNS 的隱藏通訊路徑的攻擊能夠規避 AI 安全措施。此外，還可以在 ChatGPT 的運行時環境中執行遠端命令。 將此處理嵌入到自訂 GPT 中，可以將其惡用為更廣泛的威脅，而非一次性風險。 在收到 CPR 提供的資訊後，OpenAI 已針對此漏洞實施了修復 (截至2026年2月20日)。目前尚未確認實際的惡用情況。 發現背景 ChatGPT 等 AI 助理目前正迅速處理個人最敏感的一些數據。用戶向 AI 助理諮詢症狀和病史、上傳財務文件、審閱合約內容、分享個人文件內容等。在許多情況下，這些行為都基於對 AI 助理所分享數據將安全地保留在系統內部的信任。 ChatGPT 本身也說明，對外數據傳輸受到限制、可見且受管理。敏感數據本不應僅因提示要求而傳輸給任意第三方，並且程式碼執行環境的直接外部存取也應受到限制。CPR 發現的正是繞過此模型的路徑。 單一惡意提示導致秘密數據洩露 CPR 發現，單一惡意提示可能將與 ChatGPT 的正常對話轉變為隱藏的洩露通道。在此情況下，一旦觸發，對話中的特定內容，例如用戶訊息、上傳的文件或 AI 生成的摘要，都可能在沒有任何警告或批准的情況下被傳輸到外部。 圖1：容器內部嘗試連接外部網路被阻止的畫面 從用戶的角度來看，助理會像往常一樣回應，平台上不會顯示任何警告或批准對話框。在幕後，選定的內容正在悄悄地從對話中洩露。 ChatGPT 具備防止未經授權數據共享的安全措施。從用戶的角度來看，對外數據傳輸應該是受限制、透明且基於同意的。然而，這次的漏洞並非直接突破 ChatGPT 的安全措施，而是完全規避了它們。 漏洞機制：規避現有安全措施 此漏洞並非利用 HTTP 請求或外部 API 等明顯的外部通訊路徑，而是利用 ChatGPT 用於程式碼執行和數據分析的 Linux 運行時環境中隱藏的側通道。儘管直接的網路存取按設計被阻止，但 DNS 名稱解析作為正常系統操作的一部分仍然可用。 DNS 通常被視為用於解析域名無害的基礎設施，不被認為用於數據傳輸。然而，DNS 可以透過將資訊加密為域名查詢，被惡用為隱蔽的傳輸機制。其原因在於 DNS 通訊未被歸類為外部數據共享。因此，批准對話框的顯示、警告或模型本身對操作風險的識別，都未被觸發。 單一提示觸發 攻擊可以由單一惡意提示觸發，從那時起，對話中的所有新訊息都成為潛在的洩露源。重要的是，攻擊者無需竊取整個文件。提示可以指示模型僅提取和發送最有價值的資訊，例如摘要、結論、診斷或戰略見解。而且在許多情況下，這些 AI 生成的輸出比原始輸入數據更敏感。 這種方法自然地融入了正常使用。許多用戶定期從部落格、論壇和社交媒體複製提示，這些提示聲稱可以提高生產力或提供「隱藏功能/技巧」。 當嵌入到自訂 GPT 中時，類似的攻擊模式會變得更加危險。在這種情況下，攻擊者無需等待受害者從外部複製提示，他們可以直接將惡意處理嵌入到 GPT 的指令或文件中。用戶只需打開 GPT 並像往常一樣操作，敏感資訊就會洩露。 作為概念驗證，CPR 構建了一個充當「私人醫生」的 GPT。當將檢測結果的 PDF 上傳到此 GPT 時，患者的個人資訊和醫療評估在完全正常的互動背後被發送到攻擊者的伺服器。當直接詢問 ChatGPT 是否已將數據發送到外部時，它回答說根本沒有發送任何內容。 圖2：遠端伺服器接收提取數據，而ChatGPT否認外部數據傳輸 風險從個人隱私擴大到平台層面 此隱藏通訊通道也被發現可用於數據洩露以外的目的，例如在 ChatGPT 的運行時環境中執行遠端命令。CPR 證明，透過 DNS 查詢發送命令並透過相同路徑接收結果，可以在用於程式碼執行的 Linux 環境中建立遠端 shell。這在模型安全檢查之外運行，並且從聊天介面不可見。這突顯了此漏洞可能帶來平台級別的安全風險，而不僅僅是個人隱私問

Check Point Research 發現 ChatGPT 程式碼執行環境中隱藏的對外通道

AI 摘要（NQ 加工版）

常見問題