ChatGPTのコネクターシステムとメモリ管理で発見された重大な脆弱性により、攻撃者が複数のプラットフォームにまたがって機密情報を盗み出す危険な経路が生まれました。
セキュリティ研究者は、単一の侵害されたチャットセッションを、メール、クラウドストレージ、コードリポジトリ、そして連携されたユーザーアカウントからのデータ窃取の手段へと変える高度な攻撃チェーンを記録しました。
これらの脆弱性は、ChatGPTが外部サービスと連携して操作でき、ユーザーのメモリを保存できる能力を悪用します。
これらの正規機能を利用することで、攻撃者はユーザーに気付かれないまま、Gmail、Outlook、Google Drive、OneDrive、Jira、Slack、Microsoft Teams、GitHubから機密データを自動的に抽出するようAIモデルをだますことができます。
生産性向上のために設計されたモデルのコネクターは、侵害されると武器化されたデータ抽出パイプラインへと変貌します。
研究者は、攻撃者がChatGPT内蔵ツールを悪用して、ユーザーのチャット履歴や保存されたメモリを読み取り、漏えいさせられることを特定しました。これらには、個人情報、業務上の文脈、医療情報、金融記録が含まれていることが少なくありません。
悪意ある指示で汚染されると、モデルは正当なユーザーの問い合わせよりも攻撃者の目的を優先し、その結果、窃取プロセスが自動化されます。
セキュリティ研究者は、巧妙さやユーザー操作の要件が異なる複数の攻撃ベクトルを記録しました。
ゼロクリックのサーバーサイド攻撃 は、悪意ある指示がメールに埋め込まれている場合に発生します。ユーザーがChatGPTにGmailのタスク処理を依頼すると、モデルは受信箱を読み取り、侵害されたメールに含まれる隠し指示を処理し、ユーザーがそのメッセージを見ることなくデータを流出させます。
ワンクリックのサーバーサイド攻撃 は共有ファイルを悪用します。武器化されたファイルがChatGPTにアップロードされると、モデルは埋め込まれた指示を実行し、連携アカウントや内部メモリシステムからデータを自動的に漏えいさせます。
メモリ悪用による永続化 は長期的な侵害を可能にします。単一の悪意あるファイルが、以後のあらゆる会話でデータ流出を引き起こす永続的なルールでChatGPTのメモリを再プログラムでき、攻撃者による追加の操作は不要です。
自己増殖型キャンペーン は最も高い脅威レベルを構成します。悪意ある指示c により、ChatGPTがメッセージからメールアドレスを収集し、同じ武器化コンテンツを新たな標的へ自動配布するよう促され、ワームのように組織全体へ拡散することが可能になります。
攻撃者は、人間による検知を逃れるために高度な難読化手法を用います。
白地に白の文字、極小フォント、長大なスレッド、免責事項、文書のフッターなどは、モデルにとっては解釈が容易である一方、人間の目から指示を効果的に隠します。
研究者はまた、動的なURL改変に対する防御を回避する新しいURLベースの流出手法も実証しました。
文字・数字・スペースの各トークンごとに固定URLを1つずつ事前配置することで、攻撃者はURL改変禁止ルールへの技術的な準拠を保ったまま、機密文字列を1文字ずつエンコードできます。
これらの脆弱性は、2025年9月下旬にバグバウンティプラットフォームを通じてOpenAIへ責任ある開示が行われました。
研究者は、詳細な追跡分析を提出する前に、記録されたすべての攻撃チェーンで100%の成功率を実証しました。
OpenAIは問題を確認し、2025年12月16日にパッチを展開して、研究で説明された特定の脆弱性チェーンに対処しました。
翻訳元: https://cyberpress.org/new-chatgpt-flaws/