OpenAI 旗下 ChatGPT 近日爆出重大安全漏洞。資安公司 Check Point Research 發現,其程式碼執行環境存在隱藏出站通道,僅需一個惡意提示,即可讓攻擊者透過 DNS 隧道秘密竊取用戶對話、檔案及 AI 生成內容。OpenAI 已於 2 月 20 日完成修補。
Check Point Research 在最新報告中指出,ChatGPT 的程式碼執行 runtime 為 Linux 容器環境,用於執行 Python 程式碼及資料分析,原本設計阻擋直接對外網路連線,以確保安全。然而,研究人員發現 DNS 域名解析功能仍可正常運作,形成隱藏的通訊路徑。
攻擊者可利用 DNS 隧道技術,將敏感資料編碼成 DNS 查詢中的子域名標籤,透過合法 DNS 解析器間接傳送到攻擊者控制的伺服器。這個過程完全在用戶不知情下進行,不會顯示在對話介面中,亦不觸發任何警告或審核。研究更顯示,此通道不僅能單向外洩資料,還能雙向通訊,讓攻擊者執行遠端命令,猶如在容器內建立後門。
漏洞影響範圍廣泛,包括一般對話及自訂 GPT。ChatGPT 的自訂 GPT(Custom GPTs)是 OpenAI 提供的一項功能,讓付費用戶毋需編寫程式,即可根據特定需求打造專屬版本的 ChatGPT。用戶可設定自訂指令、上傳知識檔案、啟用程式碼解釋器、網頁瀏覽等能力,甚至與第三方 API 連接,創造出專門用於寫作、醫學諮詢、金融分析、程式教學等領域的個人化 AI 助理。這些自訂 GPT 可私人使用,亦可分享給他人或發布至 GPT Store,讓更多人存取。若使用者與惡意設計的 GPT 互動,例如偽裝成「個人醫生」的自訂工具,攻擊者便可悄悄提取上傳的 PDF 檔案中的病歷、個人識別資訊,或 AI 分析結果,並透過 DNS 外洩。概念驗證(PoC)顯示,醫療、金融、合約等敏感內容均可能外洩,ChatGPT 卻仍顯示「無外部傳輸」。
OpenAI 接獲通報後確認已內部發現問題,並於 2 月 20 日全面部署修補程式。目前無證據顯示漏洞曾被黑客惡意利用。
此事件凸顯 AI 系統在提供強大功能的同時,沙盒隔離設計仍存挑戰。專家呼籲企業與用戶在使用 AI 工具處理敏感資料時,需格外謹慎,並關注供應商的安全更新。隨著 AI 應用普及,如何強化沙盒機制與出站流量控管,將是業界重要課題。
