Исследователи компании Check Point обнаружили ранее неизвестную уязвимость в ChatGPT, которая позволяла незаметно выводить из диалога конфиденциальные данные пользователя — сообщения, загруженные файлы и другой чувствительный контент. Атака могла выполняться без какого‑либо уведомления или согласия пользователя, превращая обычный чат в скрытый канал эксфильтрации данных.
Уязвимость ChatGPT: скрытый DNS-канал утечки данных
По данным Check Point, проблема заключалась в побочном канале, возникающем в Linux‑окружении, где агент ИИ выполняет код и анализирует данные. Хотя архитектура ChatGPT изначально ограничивает прямые сетевые запросы и передачу данных наружу, злоумышленникам удалось обойти эти ограничения, используя системный DNS‑механизм как «тайный транспорт».
Как работал скрытый DNS-канал в ChatGPT
Суть атаки заключалась в том, что информация кодировалась внутри DNS‑запросов, отправляемых из Linux‑окружения. С точки зрения модели это выглядело как внутренняя техническая активность, а не как внешняя передача данных, поэтому встроенные защитные механизмы ChatGPT не распознавали это поведение как утечку. В результате:
• не срабатывали предупреждения о выходе данных за пределы диалога;
• у пользователя не запрашивалось дополнительное подтверждение;
• эксфильтрация оставалась практически невидимой.
По оценке Check Point, тот же канал можно было использовать и для удалённого доступа к Linux‑окружению (remote shell) и выполнения произвольных команд, что значительно повышает критичность уязвимости.
Социальная инженерия и вредоносные кастомные GPT
Практический сценарий атаки опирается на prompt injection и социальную инженерию. Злоумышленник может выдать вредоносный промпт за «секретный способ улучшить качество ответов» или «разблокировать премиум‑функции бесплатно», побуждая пользователя вставить его в чат.
Риск существенно возрастает с появлением пользовательских и корпоративных GPT‑моделей. В этом случае вредоносная логика может быть изначально вшита в настройку GPT, и жертве уже не нужно вручную вводить подозрительный текст — достаточно просто начать использовать скомпрометированный агент.
OpenAI устранила уязвимость 20 февраля 2026 года после ответственного раскрытия. На момент публикации нет данных о её злоумышленном использовании в реальных атаках.
Риски для компаний: браузерные расширения и утечка диалогов с ИИ
На фоне описанной проблемы исследователи фиксируют и другую тенденцию: вредоносные или сомнительные расширения для браузера, перехватывающие переписку пользователей с AI‑чатботами. Такие плагины либо изначально создаются с целью шпионажа, либо «обновляются» разработчиком и начинают тихо отсылать сессии на удалённые серверы.
Подобные инструменты могут приводить к краже личности, таргетированному фишингу, утечке коммерческих тайн и клиентских данных. В корпоративной среде это особенно опасно: сотрудники нередко копируют в ChatGPT исходный код, фрагменты договоров и другую конфиденциальную информацию, не осознавая, что стороннее расширение может её перехватывать.
Командная инъекция в OpenAI Codex: атаки через GitHub-ветки
Параллельно исследователи BeyondTrust Phantom Labs выявили критическую уязвимость в OpenAI Codex — облачном агенте для инженеров‑разработчиков. Недостаточная фильтрация входных данных при обработке названий веток GitHub позволяла провести командную инъекцию (command injection) на стороне сервера.
Уязвимость находилась в HTTP‑запросе на создание задания: злоумышленник мог внедрить произвольные команды в параметр с именем ветки. При обработке такого запроса контейнер агента выполнял эти команды, что открывало путь к краже GitHub User Access Token — того самого токена, которым Codex пользуется для аутентификации в GitHub.
Получив этот токен, атакующий получал возможность для латерального перемещения и чтения/изменения всего репозитория жертвы. Более того, по данным BeyondTrust, ту же технику можно было использовать для кражи GitHub Installation Access Token и выполнения bash‑команд при каждом обращении к @codex в комментариях к pull request.
OpenAI закрыла эту уязвимость 5 февраля 2026 года после сообщения от исследователей 16 декабря 2025 года. Под удар попадали интерфейс ChatGPT, Codex CLI, SDK и расширение IDE.
Безопасность ИИ-систем: необходимость дополнительного защитного слоя
Обнаруженные уязвимости в ChatGPT и Codex подчёркивают: ИИ‑платформы нельзя считать безопасными «по умолчанию», даже если они предоставляются крупными и технологически продвинутыми поставщиками. По мере того как AI‑агенты получают доступ к коду, корпоративным документам и личным данным, они превращаются в высокоцелевые точки входа в инфраструктуру.
Для организаций это означает необходимость строить собственный защитный слой поверх внешних ИИ‑сервисов. Практические меры включают:
• проксирование запросов к ИИ через контролируемый шлюз с журналированием;
• политики по ограничению загрузки конфиденциальных данных в публичные модели;
• анализ и фильтрацию промптов на предмет prompt injection и скрытых инструкций;
• строгий контроль расширений браузера и плагинов, работающих с ИИ;
• регулярный аудит прав доступа, токенов и интеграций с GitHub и другими DevOps‑системами.
Развитие ИИ неизбежно расширяет атакующую поверхность, и традиционные средства защиты уже не охватывают все новые векторы. Чтобы использовать возможности ИИ безопасно, компаниям необходимо переосмыслить архитектуру кибербезопасности: внедрять многоуровневую защиту для AI‑агентов, отслеживать поведение контейнеров и строго контролировать вводимые в них данные. Чем раньше такие практики станут стандартом, тем ниже будет риск следующего инцидента утечки данных через ИИ‑инструменты.
