Check Point最新研究发现，OpenAI ChatGPT此前存在一处未知漏洞，可在用户不知情或未同意的情况下外泄敏感对话数据。

该网络安全公司在今日发布的报告中表示：”单一恶意提示即可将普通对话转变为隐蔽外泄通道，泄露用户消息、上传文件及其他敏感内容。后门GPT可能利用同一弱点在用户毫无察觉的情况下获取用户数据。”

经负责任披露后，OpenAI已于2026年2月20日修复该问题。尚无证据表明该漏洞曾被恶意利用。

尽管ChatGPT设有多种防护机制防止未授权数据共享或直接出站网络请求，但新发现的漏洞通过利用AI代理执行代码和数据分析所用的Linux运行时产生的旁道，完全绕过了这些安全防护措施。

具体而言，该漏洞滥用隐藏的基于DNS的通信路径作为”隐蔽传输机制”，将信息编码进DNS请求以规避可见的AI防护栏。此外，同一隐藏通信路径还可用于在Linux运行时内建立远程shell访问并实现命令执行。

在没有任何警告或用户批准对话框的情况下，该漏洞造成安全盲区，AI系统误以为环境处于隔离状态。

举例说明，攻击者可能诱骗用户粘贴恶意提示，谎称可免费解锁高级功能或提升ChatGPT性能。当该技术嵌入自定义GPT时威胁进一步放大，因为恶意逻辑可直接植入其中，无需诱骗用户粘贴特制提示。

Check Point解释：”关键在于，由于模型假定该环境无法直接向外发送数据，因此未将此行为识别为需要阻止或用户介入的外部数据传输。结果，数据外泄未触发对话数据离开警告，无需用户明确确认，且从用户视角几乎不可见。”

随着ChatGPT等工具日益深入企业环境，用户上传高度个人信息，此类漏洞凸显企业需实施自有安全层以应对提示注入及AI系统其他意外行为的必要性。

Check Point研究负责人Eli Smadja在声明中表示：”这项研究揭示了AI时代的一个残酷现实：不要默认假设AI工具是安全的。随着AI平台发展为处理我们最敏感数据的完整计算环境，原生安全控制已不足够。企业需要独立的可见性和与AI供应商之间的分层防护。这就是安全前行之道——重新思考AI安全架构，而非被动应对下一次事件。”

与此同时，研究人员观察到威胁行为体正发布（或更新）网页浏览器扩展，从事可疑的”提示窃取”行为，在用户未同意的情况下静默窃取AI聊天机器人对话，凸显看似无害的插件如何成为数据外泄渠道。

Expel研究员Ben Nahorney表示：”这些插件带来的风险不言而喻，包括身份盗窃、定向钓鱼活动及敏感数据在地下论坛出售。对于员工可能无意中安装这些扩展的企业，他们可能已暴露知识产权、客户数据或其他机密信息。”

OpenAI Codex命令注入漏洞致GitHub令牌泄露

上述发现恰逢OpenAI Codex（云端软件工程代理）关键命令注入漏洞被发现，该漏洞可被利用窃取GitHub凭证数据，最终入侵与共享仓库交互的多个用户。

BeyondTrust Phantom Labs研究员Tyler Jespersen在报告中指出：”漏洞存在于任务创建HTTP请求中，允许攻击者通过GitHub分支名称参数走私任意命令。这可能导致受害者GitHub用户访问令牌被盗——该令牌正是Codex用于GitHub认证的令牌。”

据BeyondTrust称，问题源于云端任务执行期间处理GitHub分支名称时的输入清理不当。由于此缺陷，攻击者可通过向后端Codex API发送HTTPS POST请求，在分支名称参数中注入任意命令，在代理容器内执行恶意载荷并检索敏感认证令牌。

BeyondTrust首席安全架构师Kinnaird McQuade在X平台发文称：”这授予了对受害者整个代码库的横向移动和读写访问权限。”该漏洞已于2026年2月5日由OpenAI修复，此前于2025年12月16日报告。漏洞影响ChatGPT网站、Codex CLI、Codex SDK及Codex IDE扩展。

该网络安全厂商表示，分支命令注入技术还可扩展至窃取GitHub安装访问令牌，并在GitHub中提及@codex时在代码审查容器上执行bash命令。

研究人员解释：”设置恶意分支后，我们在拉取请求评论中引用Codex。Codex随即启动代码审查容器并针对我们的仓库和分支创建任务，执行我们的载荷并将响应转发至外部服务器。”

该研究还凸显日益严重的风险：授予AI编码代理的特权访问可能被武器化，提供”可扩展攻击路径”进入企业系统，而不触发传统安全控制。

BeyondTrust表示：”随着AI代理更深入集成到开发者工作流，其运行容器的安全性及所消费输入的安全性，必须与其他应用安全边界同等严格对待。攻击面正在扩大，这些环境的安全性需要同步提升。”