Тихий DNS-шепот. Как ChatGPT обманывал защиту и сливал данные хакерам за спиной OpenAI

OpenAI много говорит о защите данных в своих ИИ-сервисах, но исследователи Check Point обнаружили неприятную дыру: до недавнего исправления ChatGPT позволял вывести информацию через скрытый DNS-канал. Проблема выглядела особенно неудобно на фоне заявлений компании о том, что среда выполнения кода не умеет напрямую отправлять внешние сетевые запросы.

В феврале OpenAI исправила уязвимость, которая позволяла вывести данные из ChatGPT всего одной вредоносной подсказкой и обходила защитные механизмы, заявленные компанией. Исследователи Check Point написали, что один такой запрос мог активировать скрытый канал утечки прямо внутри обычного разговора с ChatGPT.

По описанию исследователей, уязвимость позволяла передавать информацию на внешний сервер через побочный канал, который возникал внутри контейнера, используемого ChatGPT для выполнения кода и анализа данных. Ошибка выглядела особенно опасной из-за внутренней логики модели: ChatGPT исходил из предположения, что среда не может отправлять данные наружу напрямую, поэтому не распознавал такое поведение как внешнюю передачу информации, требующую блокировки или участия пользователя. Между тем OpenAI в своей документации указывает, что среда выполнения кода ChatGPT не способна генерировать исходящие сетевые запросы напрямую.

Канал утечки строился вокруг DNS, системы, которая переводит доменные имена в IP-адреса. OpenAI ограничивала несанкционированное общение ChatGPT с интернетом, но не поставила барьеры против схемы, при которой данные можно было незаметно выносить наружу через DNS-запросы.

Check Point показала на трех примерах, как злоумышленник мог использовать такой канал утечки на практике. В одном случае исследователи взяли стороннее приложение на базе API ChatGPT, работавшее как персональный медицинский помощник. Пользователь загружал PDF-файл с результатами лабораторных анализов и личной информацией для интерпретации. После обработки документа сервис на вопрос о передаче данных уверенно отвечал, что ничего никуда не отправлял, и объяснял: файл хранится только во внутреннем защищенном контуре. На деле сведения уходили на удаленный сервер, который контролировал атакующий.

Подобная уязвимость выглядит особенно серьезной для регулируемых отраслей, где компании уже внедряют ИИ-сервисы в рабочие процессы. Утечка такого рода через корпоративную систему могла бы обернуться нарушением GDPR, инцидентом по линии HIPAA или конфликтом с финансовыми требованиями по защите данных.

На фоне истории с DNS-каналом любопытно выглядит другая сторона защиты ChatGPT. От ботов и автоматического сбора данных сервис, похоже, прикрыт заметно жестче. Недавний разбор инженера по безопасности, выступающего под именем Buchodi, показывает, что OpenAI встроила Cloudflare Turnstile так, что пользователь не может взаимодействовать с чат-ботом, пока React-интерфейс полностью не загрузится в браузере.

В пояснении на Hacker News пользователь под ником NickT, назвавшийся сотрудником OpenAI, заявил, что подобные проверки помогают защищать собственные продукты компании от ботов, автоматического сбора данных, мошенничества и других злоупотреблений. Там же говорилось, что одна из целей такой защиты состоит в сохранении бесплатного и неавторизованного доступа для большего числа людей, а также в том, чтобы ограниченные GPU-ресурсы доставались реальным пользователям.

OpenAI, как сообщается, закрыла конкретную уязвимость 20 февраля 2026 года. На запрос о комментарии компания оперативно не ответила. История вышла показательной: сервис, который хорошо умеет обороняться от внешнего сбора собственных ответов, сам пропустил скрытый путь для вывода пользовательских данных через DNS.