文章总结： CheckPoint研究发现ChatGPT存在隐蔽数据泄露漏洞，攻击者通过恶意提示词可利用DNS隧道窃取用户敏感数据并实现远程代码执行。该漏洞绕过安全机制，在代码运行时环境中建立隐蔽通信通道，OpenAI已于2026年2月20日完成修复。 综合评分： 87 文章分类： 漏洞分析,AI安全,数据安全,威胁情报,应用安全

ChatGPT 安全漏洞：仅需一条提示词即可窃取数据

原创

Checkpoint Checkpoint

安全行者老霍

2026年4月23日 09:00 北京

在小说阅读器读本章

去阅读

作者：丹尼・帕尔默

发布时间：2026 年 3 月 31 日

ChatGPT 存在一处安全漏洞，攻击者只需构造一条恶意提示词，即可利用该漏洞隐秘窃取提示内容和对话中的敏感数据。

这一可导致数据外泄与远程代码执行的安全问题，由网络安全厂商 Check Point 研究人员发现，该公司警告称，此漏洞可能危及用户隐私。

“仅需一条恶意提示词，就能将一段普通对话变成隐秘的数据外泄通道，泄露用户消息、上传文件及其他敏感内容。”Check Point 在 3 月 30 日发布的博客文章中表示。

研究人员向 OpenAI 上报该问题后，OpenAI 已于 2 月 20 日为 ChatGPT 推送了安全更新。

在修复之前，ChatGPT 隔离运行环境中存在一条隐藏的对外通信链路，可直通公网，这使得用户对话与提示内容面临泄露风险。

如今许多人已习惯使用 ChatGPT 等 AI 助手更高效地处理工作任务，其中不乏涉及企业敏感数据的场景，包括账户信息与机密文档。

大语言模型也被用于讨论个人隐私问题，例如健康状况、个人财务或心理健康等。

用户期望此类信息仅保留在系统内部，并通过安全防护机制避免外泄。然而 Check Point 发现，这些防护措施完全可以被绕过。

“我们发现，仅一条恶意提示词，就能在普通的 ChatGPT 对话中激活一条隐藏的数据外泄通道。” 研究人员表示。

该漏洞允许信息通过 ChatGPT 运行容器发起的 DNS 旁路通道，传输至外部服务器。

问题的核心在于：模型默认其运行环境不具备向外发送数据的能力，因此当模型被诱导发送数据时，它无法进行调解或阻止。

攻击者可利用这一点，通过提示词指令 ChatGPT 将交互产生的信息发送至系统外部，从而窃取数据。

第三方可窃取私密提示内容

在概念验证中，Check Point 上传了一份包含化验结果的 PDF 文件，其中含有患者姓名等个人信息，并利用恶意提示词成功利用该漏洞。

当被问及信息是否发送给第三方时，ChatGPT 回复称并未外泄，显然并未意识到：攻击者控制的服务器已从对话中获取了高度敏感的数据。

该漏洞的利用依赖用户自行输入提示词。研究人员指出，诱使用户输入指令的方式多种多样，例如将恶意提示词发布在网站或社交媒体帖子中，伪装成高效办公提示词等用户常搜索的内容。

“对许多用户而言，复制粘贴这类提示词开启新对话是常规操作，看起来并无风险。” 研究人员称。

“因此，以此形式传播的恶意提示词，可被包装成无害的效率提升技巧，让用户误以为只是让 AI 助手输出更好结果的实用方法。”

目前尚不清楚该漏洞是否已在野外被实际利用，但 Check Point 研究人员警告：随着 ChatGPT 这类 AI 助手越来越多地运行在可能涉及敏感数据的环境中，安全必须被置于优先位置。

“随着 AI 工具功能愈发强大、应用愈发广泛，安全必须始终作为核心考量。这些系统价值巨大，但要安全地使用它们，就必须细致关注平台的每一层架构。” 博文最后写道。

代码运行时 ，ChatGPT 通过隐蔽通道泄露数据

2026 年 3 月 30 日

核心要点

• 用户在 ChatGPT 对话中分享的敏感数据，可能在用户不知情、未授权的情况下被静默窃取外泄。
• Check Point 研究团队发现，ChatGPT 的隔离执行运行时环境中，存在一条通往公共互联网的隐蔽外发通信通道。
• 仅需一条恶意提示词，就能将一段普通对话转变为隐秘数据外泄通道，泄露用户消息、上传文件及其他敏感内容。
• 被植入后门的 GPT 可利用同一漏洞，在用户无感知、未同意的情况下获取用户数据。
• 该隐蔽通信通道还可用于在执行代码的 Linux 运行时环境中，建立远程 Shell 访问权限。

1. 事件概述

AI 助手如今会处理用户大量最敏感的数据。用户会交流症状与病史，咨询税务、债务、个人财务问题，上传 PDF、合同、检测报告以及包含姓名、地址、账户信息和私密记录的身份类文件。用户的信任建立在一个简单预期之上：对话中共享的数据仅保留在系统内部。

ChatGPT 官方对外宣称，外发数据共享是受限、可见且可管控的。敏感数据不应因一条提示词的请求就被发送给任意第三方。外部操作理应通过明确的安全机制管控，代码执行环境的直接外发访问也处于限制范围。

图 1——ChatGPT 宣称外发数据泄露行为已被限制并受安全保护

而我们的研究发现了绕过该安全模型的一条通道。我们发现，仅需一条恶意提示词，就能在普通 ChatGPT 对话中激活一条隐蔽的数据外泄通道。

视频 1– 在 ChatGPT 对话过程中，用户内容摘要被静默传输至外部服务器，无任何提醒或授权。

1.1. 设计层面的安全防护机制

ChatGPT 具备从互联网检索信息、执行 Python 代码的实用功能。与此同时，OpenAI 围绕这些能力构建了保护用户数据的安全机制。例如，网络搜索功能不允许敏感聊天内容通过构造的查询字符串向外传输；基于 Python 的数据分析环境同样被设计为禁止访问互联网。OpenAI 将该环境描述为安全代码执行运行时，无法发起直接的外发网络请求。

图 2– 容器内部尝试访问互联网被拦截的截图

OpenAI 同时说明，自定义 GPT 可通过 API 将用户输入的相关内容发送至外部服务。GPT 是 ChatGPT 的定制版本，可配置指令、知识库文件与外部集成功能。GPT “操作” 功能提供了调用第三方 API、与外部服务交换数据的合法途径，适用于企业工作流、内部业务系统访问、客户支持运营等场景，也可用于天气、出行查询等简单场景。其核心特点是可见性：用户能看到数据即将离开 ChatGPT，知晓数据去向，并自主决定是否允许。

图 3–GPT 操作授权弹窗，显示目标地址与待发送数据

换言之，合法的外发数据流均设计为经过面向用户的明确授权流程。

2. 从一条消息到不知情数据窃取

从安全角度看，ChatGPT 的显性攻击面看似十分坚固。通过非专用工具发送聊天数据的行为被严格限制；通过合法 GPT 集成、调用外部 API 发送数据也需要用户明确确认。

本次发现的漏洞，可让信息通过 ChatGPT 用于代码执行与数据分析的容器，经由一条旁路通道传输至外部服务器。关键在于，系统默认该环境无法直接向外发送数据，因此不会将该行为识别为需要拦截或用户干预的外部数据传输行为。最终，此类数据泄露不会触发数据离开对话的警告，无需用户明确授权，在用户视角下几乎完全不可见。

简单来说，攻击始于受害者在 ChatGPT 对话中输入一条恶意提示词。自此之后，对话中的每一条新消息都可能成为泄露源。泄露范围取决于提示词为模型设定的任务形式，可包括原始用户文本、从上传文件提取的文本，或模型生成的精选输出内容，如摘要、医学诊断、结论及其他浓缩信息。这让攻击具备极强灵活性，攻击者不仅能窃取原始用户数据，还能窃取模型自身生成的高价值信息。

该攻击模式完全贴合普通用户的使用习惯。互联网上充斥着各类网站、博客、论坛与社交帖子，推广 “高效提示词大全”“职场最佳提示词” 等现成指令，号称能提升 ChatGPT 使用效果。对多数用户而言，复制粘贴这类提示词开启新对话是常规操作，且看似无风险，因为大家普遍认为 AI 助手不会静默泄露对话数据，普通提示词也无法突破这一边界。因此，以此形式传播的恶意提示词，可伪装成无害的效率工具，被当作提升助手效果的实用技巧。

规模更大的攻击活动可使用更具迷惑性的诱饵：宣称可免费解锁高级功能的提示词。声称能在低阶账号上实现 Pro 级效果、隐藏模式或高级功能，能为攻击者提供合理借口，在提示词中加入异常指令、长文本片段或晦涩代码，否则极易引发怀疑。由于用户本就预期会出现非常规操作，这些内容很容易被当作所谓 “破解方法” 的一部分。精心构造的提示词可在表面上实现功能增强，同时悄悄将对话变为数据窃取源。

图 4– 社会工程示例：伪装成解锁高级功能技巧的恶意提示词

一旦恶意提示词被输入对话，该对话就会彻底变成隐秘采集通道。此后，用户后续消息的摘要会被静默发送至攻击者控制的服务器。如视频 1 所示，整个过程无任何警告、授权请求或其他外部数据传输的可见提示。

3. 恶意的GPT

当该攻击模式被植入自定义 GPT 时，危险性会进一步提升。

GPT 允许开发者将指令、知识库文件与外部集成打包为可复用助手，供其他用户交互使用。在用户视角下，这类交互与使用专业工具的普通 ChatGPT 对话并无区别。

这种场景下，攻击者不再需要依赖受害者从外部复制提示词，恶意逻辑可直接嵌入 GPT 的指令与文件中，用户只需打开该 GPT 并按正常方式交互即可。

这极大改变了威胁模型。官方规定，GPT 开发者无权查看用户与其 GPT 的单独对话内容。但利用该漏洞构造的 GPT，仍可将对话中的指定信息发送至攻击者控制的服务器。而在用户看来，整个交互与使用专业助手的普通会话完全一致。

为验证该漏洞的实际影响，我们围绕敏感场景构建了概念验证：一个充当 “私人医生” 的 GPT。

视频 2—— 概念验证：“私人医生” GPT 窃取患者身份信息与医学诊断结果

演示中，用户上传了一份包含实验室检测结果的 PDF 文件，文件同时包含患者姓名等个人信息。随后用户描述症状，让 GPT 协助解读报告。

在用户视角下，整个交互完全正常。GPT 分析文件并依据提供信息给出医学诊断。

当被直接问及上传数据是否被发送至别处时，ChatGPT 明确答复 “没有”，并解释文件仅存储在安全的内部位置。与此同时，用户未看到任何授权弹窗或外部数据传输警告，这与 GPT 操作功能向第三方发送数据时的确认弹窗形成鲜明对比。

图 5–ChatGPT 否认发生外部数据传输，而远程服务器已收到提取的数据

与此同时，攻击者服务器已收到从对话中提取的高度敏感数据：从上传文件中获取的患者身份信息，以及模型生成的医学诊断结果。

这体现了该攻击的一个重要特点：攻击者未必需要窃取完整文档，提示词可指令模型传输其生成的最具价值信息。在医疗场景中，是患者身份信息与模型诊断结论；在其他场景下，则可能是财务结论、合同摘要或从长篇文档中提取的战略洞察。

4. 从数据窃取到远程 Shell

该通信通道的用途不仅限于静默数据窃取。

一旦在执行运行时环境与攻击者服务器之间建立可靠的双向通道，即可向容器内发送指令，并通过同一通道接收执行结果。实际上，攻击者可在 ChatGPT 用于执行代码、完成数据分析任务的 Linux 环境中，建立远程 Shell 访问权限。

视频 3– 概念验证：通过隐蔽通道在 ChatGPT 运行时环境中实现远程 Shell 访问

该交互脱离了 ChatGPT 正常的响应流程。用户通过聊天界面与助手交互时，生成的操作与输出仍受模型安全机制与校验规则约束。但通过旁路通道执行的指令，完全绕过了上述管控，执行结果直接返回至攻击者服务器，不会出现在对话中，也不会被模型过滤。

5. AI 运行时中的 DNS 隧道技术

实现数据窃取与远程命令执行的旁路通道，依赖DNS 域名解析。

正常情况下，DNS 用于将域名解析为 IP 地址。但从安全角度看，DNS 也可作为数据传输通道。攻击者可将数据编码至子域名标签中，触发这些主机名的解析，而非仅将 DNS 用于普通域名解析。DNS 解析会通过常规递归查询流程传播请求的主机名，解析链即可向外传输编码后的数据。

本次场景的关键在于，ChatGPT 执行运行时环境禁止常规外发互联网访问，但 DNS 解析作为环境正常运行的一部分仍可使用。直接访问外部主机的标准尝试均被拦截，而 DNS 则通过合法的解析器基础设施，间接跨越隔离边界，提供了一条狭窄的通信通道。

实施数据窃取时，内容可被编码为 DNS 安全格式的片段，放入子域名中，攻击者再从传入的查询请求中还原数据；反向下发指令时，攻击者可将小型命令片段编码至 DNS 响应中，通过同一解析路径传回。容器内运行的程序读取响应后重组载荷，持续完成数据交互。

图 5–DNS 隧道流程

该方式实质上将 DNS 基础设施转化为隔离运行时与攻击者服务器之间的隧道。这条隧道足以实现两个实际目标：头疼泄露对话中的指定数据，在代码执行与数据分析的 Linux 环境中维持命令执行权限。

总结

Check Point 研究团队已将该问题上报至 OpenAI。OpenAI 确认，其内部已发现该底层问题，并于2026 年 2 月 20 日完成完整修复部署。

该事件带来的广泛启示远超个案本身。AI 系统正以极快速度迭代，新功能持续推出，让助手能够解决复杂数学问题、分析海量数据集、生成并执行脚本、自动化完成此前需专用开发环境的多步骤任务。这些能力带来巨大价值，但同时，每一项新工具都会扩大系统攻击面，为用户与平台方带来全新安全挑战。

现代 AI 助手正越来越多地充当实际执行环境，读取文件、运行代码、联网搜索，同时处理医疗记录、财务数据、法律文件等高度敏感的个人或机构数据。保护这类环境，需要严格管控所有可能的外发通信路径，包括用户完全不可见的基础设施层。

随着 AI 工具功能愈发强大、应用愈发广泛，安全必须成为核心考量。这些系统价值巨大，但安全落地使用，需要对平台的每一层架构都做到细致把控。

https://www.infosecurity-magazine.com/news/chatgpt-security-issue-steal-data/

https://research.checkpoint.com/2026/chatgpt-data-leakage-via-a-hidden-outbound-channel-in-the-code-execution-runtime/

(完)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 Checkpoint Checkpoint《ChatGPT 安全漏洞：仅需一条提示词即可窃取数据》