文章总结： CheckPointResearch披露ChatGPT架构存在严重漏洞，攻击者可利用DNS隧道技术绕过沙箱限制，将用户聊天记录、文件及AI输出等敏感数据编码至DNS子域名实现静默窃取，且该漏洞可被武器化为双向通信通道实现远程命令执行。OpenAI已于2026年2月20日修复该漏洞。 综合评分： 85 文章分类： 漏洞分析,AI安全,数据安全,应用安全

ChatGPT漏洞允许攻击者静默窃取用户提示和其他敏感数据

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月31日 19:12 北京

用户经常将高度敏感的信息（包括医疗记录、财务文件和专有业务代码）托付给人工智能助手。

Check Point Research 最近披露了ChatGPT 架构中的一个严重漏洞，该漏洞允许攻击者悄无声息地提取此类用户数据。

通过滥用 ChatGPT 隔离代码执行环境中的隐蔽出站通道，攻击者可以提取聊天记录、上传的文件和AI 生成的输出，而不会触发用户警报或同意提示。

绕过出站安全措施

OpenAI 将基于 Python 的数据分析环境设计成一个安全的沙箱，有意阻止直接的出站 HTTP 请求，以防止数据泄露。

合法的外部 API 调用（称为 GPT 操作）需要通过可见的批准对话框获得用户的明确同意。

然而，研究人员发现了一种完全依赖DNS隧道技术的绕过方法。虽然传统的互联网访问被阻止，但容器环境仍然允许标准的DNS解析。

攻击者利用这一漏洞，将敏感用户数据编码到 DNS 子域名标签中。

该漏洞利用程序并非仅仅使用 DNS 进行 IP 名称解析，而是将数据（例如解析后的医疗诊断或财务摘要）分割成安全的片段。

当运行时执行递归查找时，解析器链会将编码后的数据直接传输到攻击者控制的外部服务器。

由于系统无法将 DNS 流量识别为外部数据传输，因此绕过了所有用户中介。

将自定义 GPT 武器化

该攻击只需极少的用户交互，并且只需一个恶意提示即可发起。

威胁行为者可以通过公共论坛或社交媒体传播这些有效载荷，将其伪装成生产力提升技巧或越狱工具，以解锁 ChatGPT 的高级功能。

用户一旦将提示粘贴到聊天窗口中，当前的对话就会无缝地变成一个隐蔽的数据收集渠道。此外，攻击者还可以将恶意逻辑直接嵌入到自定义 GPT 中。

如果用户与植入后门的 GPT 进行交互，例如模拟“私人医生”分析上传的医疗 PDF 文件，系统会秘密提取高价值的标识符和评估结果。

由于 GPT 开发者官方无法访问个人用户的聊天记录，因此该侧通道提供了一种隐蔽的机制来收集私人工作流程。

如果被直接询问，人工智能甚至会自信地否认向外部发送数据，从而维持完全的隐私假象。

该漏洞的影响远远超出了被动数据窃取，它提供了运行时和攻击者之间的双向通信通道。

由于威胁行为者可以将命令片段编码到 DNS 响应中，因此他们可以将原始指令发送回隔离的沙箱。

容器内运行的进程可以重新组装这些有效载荷并执行它们，从而有效地为攻击者提供Linux 环境中的远程 shell。

根据 Checkpoint 的研究，这种攻击方式绕过了标准的安全机制，命令和结果在聊天界面中保持不可见，导致用户完全没有意识到攻击已被攻破。

OpenAI 于 2026 年 2 月 20 日成功修复了根本问题，关闭了 DNS 隧道。

然而，这一事件完美地凸显了现代人工智能助手在发展成为复杂的多层执行环境的过程中，其攻击面不断扩大的问题。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《ChatGPT漏洞允许攻击者静默窃取用户提示和其他敏感数据》