2026.04.08

ChatGPT漏洞使攻击者能够悄无声息地窃取用户提示和其他敏感

用户经常信任 AI 助手处理高度敏感的信息,包括医疗记录、财务文件和专有商业代码。
Check Point Research 最近披露了ChatGPT 架构中的一个关键漏洞,允许攻击者悄无声息地提取这类用户数据。
通过利用 ChatGPT 孤立代码执行环境中的隐蔽出站通道,攻击者可以提取聊天记录、上传文件和AI 生成的输出,而无需触发用户警报或同意提示
OpenAI 设计基于Python 的数据分析环境是一个安全的沙箱 ,故意阻断直接的 HTTP 外部请求以防止数据泄露。
合法的外部 API 调用,称为 GPT 动作,需要通过可见的批准对话框获得用户明确同意。
然而,研究人员发现了一种完全依赖 DNS 隧道的绕过方法。虽然常规互联网访问被阻断,但容器环境仍允许标准的 DNS 解析。
攻击者利用这一疏忽,将敏感用户数据编码到 DNS 子域名标签中。
利用漏洞不仅仅用于 IP 名称解析,而是将数据块(如解析后的医疗诊断或财务摘要)分割成安全片段。
当运行时执行递归查找时,解析链会将编码数据直接传递到攻击者控制的外部服务器。
由于系统未将 DNS 流量识别为外部数据传输,因此绕过了所有用户中介。该攻击几乎不需要用户操作,发起时只需一个恶意提示。
威胁行为者可以在公共论坛或社交媒体上分发这些数据,伪装成生产力黑客或越狱手段,以解锁高级 ChatGPT 能力。
一旦用户将提示贴入聊天中,当前对话便无缝转变为一个隐秘的数据收集渠道。或者,攻击者可以将恶意逻辑直接嵌入自定义 GPT 中。
如果用户与后门 GPT 互动,比如模拟“私人医生”分析上传的医疗 PDF,系统会秘密提取高价值标识符和评估。
由于 GPT 开发者官方无法访问个别用户聊天记录,这个侧通道提供了一种隐蔽的机制来收集私人工作流程。
当被直接询问时,AI 甚至会自信地否认向外部发送数据,维持着完全的隐私假象。
该漏洞远远超出被动数据盗窃,还提供了运行时与攻击者之间的双向通信通道。
由于威胁行为者可以将命令片段编码成 DNS 响应,他们可以将原始指令返回隔离的沙盒。这种执行绕过了标准安全机制,命令和结果在聊天界面中保持隐形,用户完全不知情。
OpenAI 于 2026 年 2 月 20 日成功修补了底层问题,关闭了 DNS 隧道。然而,这一事件完美地凸显了现代 AI 助手在演进复杂多层执行环境中不断扩大的攻击面。


上一篇:新的ClickFix变体可规避PowerShell检测

下一篇:黑客利用复杂的0-Day漏洞主动攻击 Adobe Reader 用户