Специалисты компании Check Point обнаружили уязвимость в ChatGPT, которая позволяла незаметно похищать данные из переписок пользователей без их ведома и согласия. В OpenAI устранили проблему в конце февраля 2026 года, и свидетельств ее эксплуатации в реальных атаках не обнаружено.
Исследователи рассказывают, что хотя в ChatGPT есть защитные механизмы, которые не позволяют ИИ делиться данными или отправлять исходящие сетевые запросы, уязвимость позволяла обойти эти ограничения.
Проблема крылась в Linux-среде выполнения, которую ИИ-агент использует для анализа данных и выполнения кода. Там был обнаружен скрытый канал связи через DNS: конфиденциальная информация кодировалась прямо в DNS-запросах, обходя защиту. Хуже того, тот же канал теоретически позволял получить удаленный доступ к шеллу в Linux-среде и добиться выполнения произвольных команд.
По словам аналитиков, модель работала, исходя из предположения, что среда исполнения изолирована и не может отправлять данные наружу. Поэтому утечка не распознавалась как передача данных вовне и не вызывала предупреждений, не требуя подтверждений со стороны пользователя.
Сценарий атаки мог выглядеть следующим образом: злоумышленнику было достаточно убедить жертву скопировать в чат вредоносный промпт (например, под видом «разблокировки премиум-функций» или «улучшения производительности ChatGPT»). Еще опаснее ситуация могла сложиться с кастомными GPT (Custom GPT): в них вредоносная логика могла быть заложена заранее, и пользователю даже не пришлось бы ничего копировать.
«Это исследование подтверждает неприятную истину эпохи ИИ: не стоит считать, что ИИ-инструменты безопасны по умолчанию», — подчеркивает Эли Смаджа (Eli Smadja), глава исследовательского подразделения Check Point Research.
Стоит отметить, что параллельно с публикацией отчета Check Point эксперты из BeyondTrust Phantom Labs раскрыли детали критической уязвимости в OpenAI Codex, связанной с инъекцией команд в облачном ИИ-агенте для разработки. Этот баг позволял похитить токены аутентификации GitHub и скомпрометировать всех пользователей, работавших с общим репозиторием.
Проблема возникала из-за недостаточной очистки входных данных. Дело в том, что Codex не проверял должным образом имена веток GitHub при выполнении задач, и атакующий мог внедрить произвольные команды прямо в параметр с именем ветки — через POST-запрос к API. В результате вредоносный пейлоад выполнялся внутри контейнера агента, а злоумышленник получал доступ к токенам аутентификации.
«Это давало возможность бокового перемещения и полного доступа к кодовой базе жертвы — как на чтение, так и на запись», — поясняют в BeyondTrust.
Для повышения скрытности такой атаки исследователи разработали обфусцированные пейлоады с использованием юникод-символов, в результате чего вредоносные команды выполнялись, оставаясь невидимыми через интерфейс.
Сообщается, что уязвимость затрагивала сайт ChatGPT, Codex CLI, Codex SDK и расширение Codex для IDE. В BeyondTrust сообщили о проблеме разработчикам OpenAI еще 16 декабря 2025 года, и компания устранила уязвимость 5 февраля 2026 года.
