Check Point Research 發現 ChatGPT 程式碼執行環境中隱藏的對外通道

網路安全解決方案的先驅和全球領導者 Check Point Software Technologies (Check Point® Software Technologies Ltd.，NASDAQ: CHKP，以下簡稱 Check Point) 的威脅情報部門 Check Point Research (以下簡稱 CPR) 發表了調查結果，發現 ChatGPT 程式碼執行運行時環境中存在隱藏的對外通訊路徑，並證明了其惡用可能性。此漏洞可能允許透過單一惡意提示，在未經用戶通知或批准的情況下，將對話數據洩露到外部伺服器。OpenAI 在收到 CPR 的報告後，已確認於2026年2月20日完全部署修復。

主要調查結果

• CPR 發現，單一惡意提示可能將 ChatGPT 與用戶的正常會話轉變為秘密數據洩露通道。除了用戶分享的敏感數據外，AI 生成的摘要和結論也可能被洩露到外部。

• 利用基於 DNS 的隱藏通訊路徑的攻擊能夠規避 AI 安全措施。此外，還可以在 ChatGPT 的運行時環境中執行遠端命令。

• 將此處理嵌入到自訂 GPT 中，可以將其惡用為更廣泛的威脅，而非一次性風險。
  在收到 CPR 提供的資訊後，OpenAI 已針對此漏洞實施了修復 (截至2026年2月20日)。目前尚未確認實際的惡用情況。

發現背景
ChatGPT 等 AI 助理目前正迅速處理個人最敏感的一些數據。用戶向 AI 助理諮詢症狀和病史、上傳財務文件、審閱合約內容、分享個人文件內容等。在許多情況下，這些行為都基於對 AI 助理所分享數據將安全地保留在系統內部的信任。

ChatGPT 本身也說明，對外數據傳輸受到限制、可見且受管理。敏感數據本不應僅因提示要求而傳輸給任意第三方，並且程式碼執行環境的直接外部存取也應受到限制。CPR 發現的正是繞過此模型的路徑。

單一惡意提示導致秘密數據洩露
CPR 發現，單一惡意提示可能將與 ChatGPT 的正常對話轉變為隱藏的洩露通道。在此情況下，一旦觸發，對話中的特定內容，例如用戶訊息、上傳的文件或 AI 生成的摘要，都可能在沒有任何警告或批准的情況下被傳輸到外部。

從用戶的角度來看，助理會像往常一樣回應，平台上不會顯示任何警告或批准對話框。在幕後，選定的內容正在悄悄地從對話中洩露。

ChatGPT 具備防止未經授權數據共享的安全措施。從用戶的角度來看，對外數據傳輸應該是受限制、透明且基於同意的。然而，這次的漏洞並非直接突破 ChatGPT 的安全措施，而是完全規避了它們。

漏洞機制：規避現有安全措施
此漏洞並非利用 HTTP 請求或外部 API 等明顯的外部通訊路徑，而是利用 ChatGPT 用於程式碼執行和數據分析的 Linux 運行時環境中隱藏的側通道。儘管直接的網路存取按設計被阻止，但 DNS 名稱解析作為正常系統操作的一部分仍然可用。

DNS 通常被視為用於解析域名無害的基礎設施，不被認為用於數據傳輸。然而，DNS 可以透過將資訊加密為域名查詢，被惡用為隱蔽的傳輸機制。其原因在於 DNS 通訊未被歸類為外部數據共享。因此，批准對話框的顯示、警告或模型本身對操作風險的識別，都未被觸發。

單一提示觸發
攻擊可以由單一惡意提示觸發，從那時起，對話中的所有新訊息都成為潛在的洩露源。重要的是，攻擊者無需竊取整個文件。提示可以指示模型僅提取和發送最有價值的資訊，例如摘要、結論、診斷或戰略見解。而且在許多情況下，這些 AI 生成的輸出比原始輸入數據更敏感。

這種方法自然地融入了正常使用。許多用戶定期從部落格、論壇和社交媒體複製提示，這些提示聲稱可以提高生產力或提供「隱藏功能/技巧」。

當嵌入到自訂 GPT 中時，類似的攻擊模式會變得更加危險。在這種情況下，攻擊者無需等待受害者從外部複製提示，他們可以直接將惡意處理嵌入到 GPT 的指令或文件中。用戶只需打開 GPT 並像往常一樣操作，敏感資訊就會洩露。

作為概念驗證，CPR 構建了一個充當「私人醫生」的 GPT。當將檢測結果的 PDF 上傳到此 GPT 時，患者的個人資訊和醫療評估在完全正常的互動背後被發送到攻擊者的伺服器。當直接詢問 ChatGPT 是否已將數據發送到外部時，它回答說根本沒有發送任何內容。

風險從個人隱私擴大到平台層面
此隱藏通訊通道也被發現可用於數據洩露以外的目的，例如在 ChatGPT 的運行時環境中執行遠端命令。CPR 證明，透過 DNS 查詢發送命令並透過相同路徑接收結果，可以在用於程式碼執行的 Linux 環境中建立遠端 shell。這在模型安全檢查之外運行，並且從聊天介面不可見。這突顯了此漏洞可能帶來平台級別的安全風險，而不僅僅是個人隱私問題。

對受監管產業的影響更為嚴重。透過 AI 工具進行的侵害不僅僅是安全事件；它們可能升級為違反 GDPR (歐盟通用數據保護條例)、HIPAA (美國醫療保險可攜性與責任法案) 以及財務或監管合規性問題。因此，醫療、金融服務和政府機構的組織必須將 AI 工具視為其受監管環境的一部分，而不是將其定位為在現有控制框架之外運行的消費者應用程式。

修復完成，以及 AI 時代的重要教訓
遵循負責任的資訊披露流程，CPR 向 OpenAI 報告了此漏洞。OpenAI 內部已確定問題的根本原因，並於2026年2月20日部署了完整的修復，關閉了意外的通訊通道。沒有實際惡用的證據。

Check Point 的觀點
Check Point Research 研究主管 Eli Smadja 表示：
「此案例再次強調了 AI 時代的嚴峻現實。我們不應假設 AI 工具預設是安全的。隨著 AI 平台發展成為處理最敏感數據的成熟計算環境，單靠原生安全控制是不夠的。組織必須確保與 AI 供應商之間具有獨立的可見性和多層次保護。與其手忙腳亂地應對下一個事件，不如為 AI 時代重新設計安全架構，這才是安全前進的道路。」

此案例不僅限於單一漏洞。AI 平台的演進速度超過了大多數組織評估風險的速度。確保 AI 安全不僅需要修復單一缺陷，還需要為 AI 時代重新設計安全架構。AI 系統必須被視為完整的計算環境，並從應用程式邏輯到基礎設施行為進行相應的保護。

儘管 AI 公司擅長構建 AI，但它們並非將安全置於首位的組織。這就是獨立研究至關重要的原因。CPR 在惡意攻擊者之前發現了此漏洞，體現了企業所需的監督形式。安全領導者不應僅依賴供應商的保證，而應與能夠驗證和加強 AI 環境的值得信賴的顧問合作。

本新聞稿基於美國時間2026年3月30日發布的部落格文章 (英文) 編寫。

關於 Check Point Research
Check Point Research 為 Check Point 客戶和威脅情報社群提供最新的網路威脅情報。它收集並分析儲存在 Check Point 威脅情報 ThreatCloud AI 中的全球網路攻擊數據，以阻止駭客並為其產品中搭載的保護功能的有效性開發做出貢獻。團隊由100多名分析師和研究人員組成，與安全供應商、執法機構和各 CERT 組織合作，共同應對網路安全挑戰。

部落格: https://research.checkpoint.com/
X: https://x.com/_cpresearch_

關於 Check Point
Check Point Software Technologies (www.checkpoint.com) 是全球網路安全領導者，保護全球超過10萬個組織。該公司的使命是透過預防優先的方法和開放的生態系統架構，確保企業安全的 AI 轉型。該公司協助阻止高級威脅、優先處理暴露點並自動化複雜數位環境中的安全操作。Check Point 的統一架構簡化了跨混合網路、多雲環境、數位工作空間和 AI 系統的保護。Check Point 以混合網狀網路安全、工作空間安全、暴露管理和 AI 安全這四個戰略支柱為核心，在多供應商環境中提供一致的保護和可見性，幫助組織在不增加複雜性的情況下降低風險、提高效率並加速創新。Check Point Software Technologies 株式会社 (https://www.checkpoint.com/jp/) 是 Check Point Software Technologies 的全資日本子公司，成立於1997年10月1日，總部位於東京都港區。

社群媒體帳號 
・Check Point 部落格: https://blog.checkpoint.com 
・Check Point Research 部落格: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/