Исследователи из компании Check Point обнаружили уязвимость в ChatGPT, которая позволяла незаметно выкачивать конфиденциальные данные из пользовательских диалогов. Речь идёт о переписке, загруженных файлах, любом чувствительном контенте. Всё это можно было вытащить без ведома и согласия пользователя. Эксплуатации уязвимости «в дикой природе» зафиксировано не было, но сам механизм атаки оказался на удивление изощрённым.
Суть проблемы крылась в побочном канале, привязанном к Linux-среде выполнения, которую AI-агент использует для обработки кода и анализа данных. Уязвимость обходила существующие защитные механизмы через скрытый DNS-канал связи. Информация кодировалась в DNS-запросы, что позволяло обойти видимые ограничения ИИ. Система не воспринимала передачу данных как внешнюю коммуникацию и поэтому не генерировала предупреждений и не запрашивала подтверждения у пользователя. Фактически ИИ считал свою среду изолированной, и это оказалось ошибкой. По тому же скрытому каналу можно было получить удалённый доступ к оболочке внутри Linux-среды и выполнять произвольные команды.
Атака могла запускаться двумя путями. Первый — вредоносные промпты: злоумышленник обманом убеждал пользователя вставить определённый текст, обещая, допустим, разблокировку бесплатных премиум-функций или повышение производительности. Второй, более опасный вариант — кастомные GPT с заложенной вредоносной логикой. Тут даже не нужно было заставлять жертву что-то копировать: бэкдор срабатывал сам.
Элай Смаджа, руководитель исследований в Check Point Research, прокомментировал находку для The Hacker News: «Это исследование подкрепляет неприятную правду эпохи ИИ: не стоит по умолчанию считать инструменты ИИ безопасными». Он подчеркнул, что встроенных средств защиты недостаточно, и организациям нужна независимая видимость происходящего и многоуровневая защита.
Параллельно компания Expel выявила родственную угрозу. Исследователь Бен Нахорни описал схему, которую назвали «перехват промптов» (prompt poaching). Злоумышленники публикуют или обновляют расширения для браузеров, и эти расширения тихо перехватывают разговоры пользователей с AI-чатботами. Последствия — кража личных данных, целевой фишинг, продажа конфиденциальной информации на подпольных форумах, утечка корпоративной интеллектуальной собственности и клиентских данных.
Вторая уязвимость оказалась ещё серьёзнее по потенциальному ущербу. Лаборатория BeyondTrust Phantom Labs нашла критическую уязвимость внедрения команд в OpenAI Codex — облачном агенте для разработки ПО. Проблема возникала из-за некорректной обработки входных данных при работе с именами веток GitHub в процессе выполнения задач.
Технически уязвимость находилась в HTTP/HTTPS POST-запросе на создание задачи к бэкенд-API Codex. Атакующий мог протащить произвольные команды через параметр имени ветки GitHub. Вредоносная нагрузка выполнялась внутри контейнера агента, что давало доступ к токенам пользователя GitHub — тем самым, которые Codex использует для аутентификации. С украденным токеном злоумышленник получал доступ на чтение и запись ко всей кодовой базе жертвы.
Был и расширенный вектор атаки. Можно было украсть GitHub Installation Access токены и запускать bash-команды в контейнерах проверки кода. Для этого достаточно было упомянуть @codex в комментарии к pull request'у на GitHub, если вредоносная ветка была заранее подготовлена.
Исследователь Тайлер Джесперсен из BeyondTrust Phantom Labs сообщил об уязвимости 16 декабря 2025 года. OpenAI выпустила патч 5 февраля 2026 года. Уязвимость затрагивала сайт ChatGPT, Codex CLI, Codex SDK и расширение Codex для IDE.
Кинерд Маккуэйд, главный архитектор безопасности BeyondTrust, написал в X, что привилегированный доступ, предоставляемый ИИ-агентам для работы с кодом, может быть превращён в оружие для взлома корпоративных систем — причём традиционные средства безопасности этого даже не заметят. По мере того как AI-агенты всё глубже врастают в рабочие процессы разработчиков, безопасность их контейнеров и входных данных должна обеспечиваться с той же строгостью, что и защита традиционных рубежей безопасности приложений.
Изображение носит иллюстративный характер
Суть проблемы крылась в побочном канале, привязанном к Linux-среде выполнения, которую AI-агент использует для обработки кода и анализа данных. Уязвимость обходила существующие защитные механизмы через скрытый DNS-канал связи. Информация кодировалась в DNS-запросы, что позволяло обойти видимые ограничения ИИ. Система не воспринимала передачу данных как внешнюю коммуникацию и поэтому не генерировала предупреждений и не запрашивала подтверждения у пользователя. Фактически ИИ считал свою среду изолированной, и это оказалось ошибкой. По тому же скрытому каналу можно было получить удалённый доступ к оболочке внутри Linux-среды и выполнять произвольные команды.
Атака могла запускаться двумя путями. Первый — вредоносные промпты: злоумышленник обманом убеждал пользователя вставить определённый текст, обещая, допустим, разблокировку бесплатных премиум-функций или повышение производительности. Второй, более опасный вариант — кастомные GPT с заложенной вредоносной логикой. Тут даже не нужно было заставлять жертву что-то копировать: бэкдор срабатывал сам.
Элай Смаджа, руководитель исследований в Check Point Research, прокомментировал находку для The Hacker News: «Это исследование подкрепляет неприятную правду эпохи ИИ: не стоит по умолчанию считать инструменты ИИ безопасными». Он подчеркнул, что встроенных средств защиты недостаточно, и организациям нужна независимая видимость происходящего и многоуровневая защита.
Параллельно компания Expel выявила родственную угрозу. Исследователь Бен Нахорни описал схему, которую назвали «перехват промптов» (prompt poaching). Злоумышленники публикуют или обновляют расширения для браузеров, и эти расширения тихо перехватывают разговоры пользователей с AI-чатботами. Последствия — кража личных данных, целевой фишинг, продажа конфиденциальной информации на подпольных форумах, утечка корпоративной интеллектуальной собственности и клиентских данных.
Вторая уязвимость оказалась ещё серьёзнее по потенциальному ущербу. Лаборатория BeyondTrust Phantom Labs нашла критическую уязвимость внедрения команд в OpenAI Codex — облачном агенте для разработки ПО. Проблема возникала из-за некорректной обработки входных данных при работе с именами веток GitHub в процессе выполнения задач.
Технически уязвимость находилась в HTTP/HTTPS POST-запросе на создание задачи к бэкенд-API Codex. Атакующий мог протащить произвольные команды через параметр имени ветки GitHub. Вредоносная нагрузка выполнялась внутри контейнера агента, что давало доступ к токенам пользователя GitHub — тем самым, которые Codex использует для аутентификации. С украденным токеном злоумышленник получал доступ на чтение и запись ко всей кодовой базе жертвы.
Был и расширенный вектор атаки. Можно было украсть GitHub Installation Access токены и запускать bash-команды в контейнерах проверки кода. Для этого достаточно было упомянуть @codex в комментарии к pull request'у на GitHub, если вредоносная ветка была заранее подготовлена.
Исследователь Тайлер Джесперсен из BeyondTrust Phantom Labs сообщил об уязвимости 16 декабря 2025 года. OpenAI выпустила патч 5 февраля 2026 года. Уязвимость затрагивала сайт ChatGPT, Codex CLI, Codex SDK и расширение Codex для IDE.
Кинерд Маккуэйд, главный архитектор безопасности BeyondTrust, написал в X, что привилегированный доступ, предоставляемый ИИ-агентам для работы с кодом, может быть превращён в оружие для взлома корпоративных систем — причём традиционные средства безопасности этого даже не заметят. По мере того как AI-агенты всё глубже врастают в рабочие процессы разработчиков, безопасность их контейнеров и входных данных должна обеспечиваться с той же строгостью, что и защита традиционных рубежей безопасности приложений.
