ChatGPTのコード実行環境で発見された重大な脆弱性により、脅威行為者はユーザープロンプト、アップロードされたファイル、およびその他の機密データを隠れた送信チャネルを通じて静かに流出させることができました。ユーザーに対して目に見えるセキュリティ警告をトリガーすることはありませんでした。
OpenAIが標準的な送信インターネットトラフィック(HTTPおよびTCPリクエストを含む)を厳しく制限している一方で、コンテナ化されたランタイムは依然としてドメインネームシステム(DNS)解決が正常に機能することを許可しています。
攻撃者はDNSトンネリングと呼ばれる技術を通じてこのギャップを悪用しました。この技術では、機密データの断片がエンコードされ、攻撃者が制御するドメインへのサブドメインとして追加されます。
DNSクエリはデータ転送ではなく日常的なインフラストラクチャトラフィックとして扱われるため、システムはユーザーに対して送信データ警告をトリガーすることはありませんでした。
脅威行為者は2つの異なるベクトルを通じてこの脆弱性を悪用することができました。最初の方法では、悪意のあるプロンプトが「ジェイルブレイク」または生産性トリックとして偽装され、チャットセッションに貼り付けられると、すぐに会話が武装化されました。
2番目の方法では、攻撃者は悪意のあるロジックをバックドア化されたカスタムGPTに直接埋め込みました。
そのカスタムアシスタントとデータを共有したユーザーは、追加のプロンプトインジェクションを必要とすることなく、即座に侵害されるでしょう。
深刻度は受動的なデータ流出をはるかに超えていました。DNSチャネルが双方向だったため、攻撃者はコンテナに送り返されるDNS応答内にコマンドフラグメントをエンコードすることができました。
これはChatGPTのLinuxコンテナ内にリモートシェルを効果的に確立し、脅威行為者が任意のコマンドを実行できます。これはモデルの標準的なセキュリティメカニズムの完全に外で実行され、セッション中に処理された医療記録、財務データ、またはファイルへのアクセスを含みます。
OpenAIはCheck Point Researchによる責任ある開示に従い、2026年2月20日に脆弱性を正常にパッチしました。
このインシデントはAIセキュリティの重大な転換を示唆しています。大規模言語モデルが個人情報、医療データ、および財務データを処理できるフルコード実行環境へと進化するにつれて、DNSなどの基礎的インフラストラクチャプロトコルを含むすべての通信レイヤーの保護が譲歩不可能となります。
プラットフォームプロバイダーは、インフラストラクチャレベルのチャネルがアプリケーションレイヤーのデータ保護をバイパスするために悪用されないことを確実にする必要があります。
翻訳元: https://cyberpress.org/chatgpt-vulnerability/