文章总结： 该文档披露了OpenAI旗下产品曾存在的两项高危安全漏洞。一是ChatGPT的一处未知漏洞，它能通过恶意提示或自定义GPT，利用基于DNS的隐蔽通信路径绕过安全防护，在用户不知情的情况下外泄敏感对话数据或建立远程shell访问；二是OpenAICodex中的命令注入漏洞，攻击者可通过GitHub分支名称参数注入任意命令，窃取GitHub凭证数据。这两个漏洞均已在2026年2月被修复。文章强调，随着AI工具深入企业环境，默认其安全是危险的，企业需建立独立的安全防护层。此外，研究人员还观察到有浏览器扩展可能窃取AI聊天机器人对话数据。 综合评分： 85 文章分类： 漏洞分析,AI安全,WEB安全,恶意软件,应用安全

OpenAI 紧急修复：ChatGPT 暗藏数据外泄漏洞

HackerNews HackerNews

安全威胁纵横

2026年3月31日 17:41 湖北

高危漏洞

紧急修复指南

RCE Patch

Check Point最新研究发现，OpenAI ChatGPT此前存在一处未知漏洞，可在用户不知情或未同意的情况下外泄敏感对话数据。

推测e

该网络安全公司在今日发布的报告中表示：“单一恶意提示即可将普通对话转变为隐蔽外泄通道，泄露用户消息、上传文件及其他敏感内容。后门GPT可能利用同一弱点在用户毫无察觉的情况下获取用户数据。”

经披露后，OpenAI已于2026年2月20日修复该问题。尚无证据表明该漏洞曾被恶意利用。

尽管ChatGPT设有多种防护机制防止未授权数据共享或直接出站网络请求，但新发现的漏洞通过利用AI代理执行代码和数据分析所用的Linux运行时产生的旁道，完全绕过了这些安全防护措施。

具体而言，该漏洞滥用隐藏的基于DNS的通信路径作为”隐蔽传输机制”，将信息编码进DNS请求以规避可见的AI防护栏。此外，同一隐藏通信路径还可用于在Linux运行时内建立远程shell访问并实现命令执行。

在没有任何警告或用户批准对话框的情况下，该漏洞造成安全盲区，AI系统误以为环境处于隔离状态。

举例说明，攻击者可能诱骗用户粘贴恶意提示，谎称可免费解锁高级功能或提升ChatGPT性能。当该技术嵌入自定义GPT时威胁进一步放大，因为恶意逻辑可直接植入其中，无需诱骗用户粘贴特制提示。

Check Point解释：“关键在于，由于模型假定该环境无法直接向外发送数据，因此未将此行为识别为需要阻止或用户介入的外部数据传输。结果，数据外泄未触发对话数据离开警告，无需用户明确确认，且从用户视角几乎不可见。”

随着ChatGPT等工具日益深入企业环境，用户上传高度个人信息，此类漏洞凸显企业需实施自有安全层以应对提示注入及AI系统其他意外行为的必要性。

Check Point研究负责人Eli Smadja在声明中表示：”这项研究揭示了AI时代的一个残酷现实：不要默认假设AI工具是安全的。随着AI平台发展为处理我们最敏感数据的完整计算环境，原生安全控制已不足够。企业需要独立的可见性和与AI供应商之间的分层防护。这就是安全前行之道——重新思考AI安全架构，而非被动应对下一次事件。”

与此同时，研究人员观察到威胁行为体正发布（或更新）网页浏览器扩展，从事可疑的”提示窃取”行为，在用户未同意的情况下静默窃取AI聊天机器人对话，凸显看似无害的插件如何成为数据外泄渠道。

Expel研究员Ben Nahorney表示：“这些插件带来的风险不言而喻，包括身份盗窃、定向钓鱼活动及敏感数据在地下论坛出售。对于员工可能无意中安装这些扩展的企业，他们可能已暴露知识产权、客户数据或其他机密信息。”

OpenAI Codex命令注入漏洞致GitHub令牌泄露

上述发现恰逢OpenAI Codex（云端软件工程代理）关键命令注入漏洞被发现，该漏洞可被利用窃取GitHub凭证数据，最终入侵与共享仓库交互的多个用户。

BeyondTrust Phantom Labs研究员Tyler Jespersen在报告中指出：“漏洞存在于任务创建HTTP请求中，允许攻击者通过GitHub分支名称参数走私任意命令。这可能导致受害者GitHub用户访问令牌被盗——该令牌正是Codex用于GitHub认证的令牌。”

据BeyondTrust称，问题源于云端任务执行期间处理GitHub分支名称时的输入清理不当。由于此缺陷，攻击者可通过向后端Codex API发送HTTPS POST请求，在分支名称参数中注入任意命令，在代理容器内执行恶意载荷并检索敏感认证令牌。

BeyondTrust首席安全架构师Kinnaird McQuade在X平台发文称：”这授予了对受害者整个代码库的横向移动和读写访问权限。”该漏洞已于2026年2月5日由OpenAI修复，此前于2025年12月16日报告。漏洞影响ChatGPT网站、Codex CLI、Codex SDK及Codex IDE扩展。

该网络安全厂商表示，分支命令注入技术还可扩展至窃取GitHub安装访问令牌，并在GitHub中提及@codex时在代码审查容器上执行bash命令。

研究人员解释：”设置恶意分支后，我们在拉取请求评论中引用Codex。Codex随即启动代码审查容器并针对我们的仓库和分支创建任务，执行我们的载荷并将响应转发至外部服务器。”

该研究还凸显日益严重的风险：授予AI编码代理的特权访问可能被武器化，提供”可扩展攻击路径”进入企业系统，而不触发传统安全控制。

BeyondTrust表示：”随着AI代理更深入集成到开发者工作流，其运行容器的安全性及所消费输入的安全性，必须与其他应用安全边界同等严格对待。攻击面正在扩大，这些环境的安全性需要同步提升。”

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://thehackernews.com/2026/03/openai-patches-chatgpt-data.html

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews HackerNews《OpenAI 紧急修复：ChatGPT 暗藏数据外泄漏洞》