「AI時代の厳しい現実：AIツールはデフォルトで安全だと想定するな」：OpenAIが脆弱性をパッチ…

DNSトラフィックはリスク行為ではない

理論的には、それは正しいです。データはHTTPまたは外部APIを通じて流出させることができ、これらはどちらも検出されたり、少なくとも追跡されたりする可能性があります。しかし、CPRはボックスの外で考え、情報を引き出すための完全に新しい方法を見つけました – DNS経由です。

「直接的なインターネットアクセスは意図通りにブロックされていましたが、DNS解決は通常のシステム操作の一部として利用可能でした」と彼らは説明しました。「DNSは通常無害なインフラストラクチャとして扱われており、ドメイン名を解決するために使用され、データを送信するためではありません。ただし、DNSはドメインクエリに情報をエンコードすることで、秘密の転送メカニズムとして悪用される可能性があります。」

DNS活動はアウトバウンドデータ共有としてラベルされていないため、ChatGPTは承認ダイアログを表示せず、警告を表示せず、その行為が本質的にリスク行為であるとは認識しません。

「これは盲点を作成しました。プラットフォームは環境が分離されていると想定していました。モデルはChatGPT内で完全に動作していると想定していました。ユーザーはデータが同意なしに離脱できないと想定していました」とCPRは述べました。「3つの仮定すべてが妥当でした。しかし、3つすべてが不完全でした。これはセキュリティチームにとって重要な教訓です。AIのガードレールはポリシーと意図に焦点を当てることが多い一方、攻撃者はインフラと行動を悪用します。」

攻撃を開始するには、ChatGPTはまだプロンプトされる必要があります。したがって、初期トリガーはまだ引き出される必要があります。ただし、メール、PDFドキュメント、またはウェブサイトを通じて悪意のあるプロンプトを注入することで、無数の方法で実行できます。

それでも、GPTが無視されたプロンプトに誤って作用しなくても、このフローを悪用する他の方法があります。カスタムGPTs経由です。

例えば、ハッキンググループはカスタムGPTを構築して個人医師として機能させることができます。それを使用する被害者は個人情報を含むラボ結果をアップロードしてアドバイスを求め、データが共有されていないという確認を受けます。

しかし実は、攻撃者の管理下にあるサーバーがアップロードされたすべてのファイルを取得しています。さらに悪いことに、GPTは全文書をアップロードする必要さえありません – 本質的なものだけを流出させることができ、プロセスをより簡潔で、より高速で、より効率的にします。

幸い、CPRはこの脆弱性が実際に悪用される前に発見しました。それは責任を持ってOpenAIに開示し、2026年2月20日に完全な修正を配置しました。

ChatGPTとCodexへのパッチ適用

これはOpenAIが対処しなければならない2番目の主要な脆弱性です – 今週のことです。今日の早い段階で、TechRadar Proは、OpenAIのChatGPT Codexが脅威行為者に機密GitHub認証トークンを盗むことを可能にする重大なコマンドインジェクション脆弱性を持っていることを報告しました。

したがってOpenAIはまた、Codexがタスク作成中にブランチ名を処理する方法から発生する欠陥も修正しました。このツールは、悪意のあるアクターがブランチパラメータを操作し、環境をセットアップしている間に任意のシェルコマンドを注入することを可能にしました。これらのコマンドは、悪意のあるものを含むコンテナ内で任意のコードを実行できました。Phantom Labsの研究者たちは、この方法でGitHub OAuthトークンを取得でき、理論上のサードパーティプロジェクトへのアクセスを取得し、トークンを使用してGitHub内で横方向に移動できたと述べました。