想象一下:你在问聊天GPT帮助处理您确实不想让其他人看到的事情。也许这是一份写有您名字的实验室报告。也许这是一封您尚未发送的辞职信。也许是一份合同、一份财务电子表格,或者是一条您要小心措辞的私人消息。
您认为它保留在您和您的“私人助理”之间,直到您批准将其发送到其他地方为止。但以色列网络安全公司 Check Point 的研究表明,这一假设可能并不总是成立。
该公司发现 ChatGPT 系统中存在一个弱点,可能允许某人在不触发任何警报的情况下提取数据。根据检查点软件技术,代码中存在一个小漏洞,可用于移动数据而不触发通常的警报警告。
OpenAI 在 2025 年底表示,它每周为超过 8 亿用户提供服务,而 OpenAI 的另一项研究发现,到 2025 年 7 月,用户每周已发送约 180 亿条消息。人们不仅仅用它来开玩笑或好奇。他们用它来审查电子表格、总结合同、起草电子邮件、编写代码、润色演示文稿以及理解医疗或金融语言,这些语言本身就让人感到不知所措。
我们谈论的不仅仅是人们偶尔用来娱乐的聊天机器人。许多人将这个系统用作工作的助手、写作的伙伴、研究的工具,有时甚至用作谈论个人决定的人。如果像这样的系统存在隐藏缺陷,那么这不仅仅是技术的问题。这是信任的问题。
Check Point 表示,该缺陷存在于 ChatGPT 用于数据分析和基于 Python 的任务的运行时中。您可以将该运行时视为产品内的密封工作区,在该工作区中可以处理文件和运行代码,而无需自由地访问更广泛的互联网。根据研究,正常的出站网络流量被阻止,但一个后台功能仍然可用:域名系统(DNS)解析,计算机用来查找网站的系统。
只需要一个小功能即可。通过利用 DNS 的弱点,攻击者可以创建一种秘密方式将信息移出安全区域。
这称为“DNS 隧道”,但它并不像听起来那么复杂。基本上,攻击者不是通过正常的互联网流量发送数据,而是将数据的一小部分隐藏在看起来像查找网站的常规请求中。这就像在看似无害的包裹中偷偷地藏了一条小信息。然后,攻击者可以使用此秘密隧道将信息慢慢移出环境,而不被发现。
ChatGPT 确实有经过批准的与外部服务连接的方法。例如,GPT 操作应该是可见的,并且在数据发送到其他地方之前需要用户批准。Check Point 表示,它发现的缺陷回避了该模型,因为助手的行为就好像代码执行环境无法直接向外发送数据一样。换句话说,系统没有将该活动识别为需要阻止或向用户显示的外部传输。
潜在的泄漏是如何发生的
Check Point 表示,攻击可以从提示等普通内容开始,即用户粘贴到 ChatGPT 中的文本指令。
即时分享已成为一种流行趋势。人们每天都会从 LinkedIn 帖子、Reddit 帖子、时事通讯、论坛、Slack 群组以及“最佳提示”列表中复制提示。大多数时候,他们不会停下来想知道这些文本到底来自哪里。
这给了攻击者一个自然的伪装。恶意提示可能被认为是一种写作捷径、一种生产力技巧,甚至是一种获得高级行为的黑客手段。老实说,许多合法的提示看起来已经很奇怪了。它们很长、过于详细,并且充满了笨拙的说明。因此,如果您的提要中又出现一个看起来很奇怪的提示,您可能不会三思而后行。
Check Point 表示,一旦提示到位,与 ChatGPT 对话中的后续消息可能会成为泄露信息的来源。这可能包括您输入的内容、从上传文件中提取的文本,以及最重要的是,模型自己的摘要和结论。
虽然暴露自己的个人文件是一个大问题,但访问模型摘要实际上更成问题。如果模型可以将其归结为实际重要的四个条款,那么攻击者可能不会关心原始的 30 页合同。如果 ChatGPT 已经总结了可能的诊断、危险信号和下一步,他们可能不需要完整的医疗报告。如果系统生成一个简洁的段落来解释财务风险,他们可能不需要整个季度电子表格。
从这个意义上说,这项研究描述了比简单的文档盗窃更严重的事情。它描述了文档中最有用的见解可能被盗的情况。
如果一个可信人工智能系统读取敏感内容,将其转换为简洁且有价值的内容,然后悄悄地将结果发送到其他地方,造成的损害可能比原始文件本身泄露更严重。
这对日常用户有何影响?
Check Point 的报告发布之际,人们使用人工智能工具的目的远不止是解决随意的问题。OpenAI 自己的研究表明,大约 30% 的消费者 ChatGPT 使用与工作有关,而总体而言,大多数对话都集中在实用指导、信息和写作上。这意味着数以百万计的用户正在向这些系统提供商业敏感的、个人识别的或纯粹是私人的材料。
现实世界的应用是无穷无尽的。律师上传一份协议草案。一位初创公司创始人粘贴了一份筹款备忘录。经理请求帮助重写绩效评估。家长需要帮助了解孩子的血液检查。一名学生提交了一份包含个人详细信息的奖学金论文。一位求职者要求 ChatGPT 改进一封提及现任雇主的求职信。这些人都不认为自己面临网络安全风险。他们认为自己只是在寻求帮助。
这就是为什么这种弱点如此令人不安。大多数用户能在发生此类攻击时发现它吗?可能不会。如果答案仍然完美,对话仍然感觉正常,并且屏幕上没有警告,那么您就没有理由认为有什么问题。
自定义 GPT 使未被检测到的攻击的风险更高
Check Point 表示,当相同的行为嵌入自定义 GPT 中时,风险变得更加严重。在这种情况下,攻击者根本不需要说服某人将可疑提示粘贴到常规聊天中。恶意行为可以内置到专门的 GPT 指令或文件中,而用户认为他们只是打开一个为特定目的而设计的工具。
自定义 GPT 通常是围绕便利性和专业知识进行营销的预设机器人:法律起草、营销计划、面试准备、预算、客户支持、学习帮助和健康指导。专业化让他们感到更安全,而不是更有风险。如果某个东西看起来像是专门构建的助手,那么许多用户更有可能信任它,而不是更少。自定义 GPT 还经过专门编程,可以产生某些让具有类似查询的用户满意的结果,因此对于许多此类请求,寻找特定的 GPT 而不是询问通用聊天机器人非常有吸引力。
为了说明这一点,Check Point 模拟了涉及“私人医生”GPT 的概念验证。在演示中,用户上传了包含识别信息的实验室结果,并要求系统解释症状和医疗结果。从用户的角度来看,一切看起来都很正常。GPT 的回应符合预期,助手在被询问后甚至表示上传的数据还没有发送到任何地方。
然而,Check Point 表示,在幕后,攻击者的服务器从文件中接收到患者的身份以及模型的医疗评估。没有出现批准提示。没有可见信号通知用户任何数据已离开会话。
从安静泄漏到远程访问
Check Point 表示,同样的隐蔽通道还可以用于比数据盗窃更激进的行为。研究人员表示,一旦运行时和攻击者控制的服务器之间存在双向路径,它就可以用于将命令发送到用于代码执行的 Linux 容器中,并通过相同的路径接收返回的结果。该公司表示,这实际上相当于运行时内的远程 shell 访问。
简而言之,这意味着攻击者不仅仅是提取信息。它们可能在 ChatGPT 执行分析任务的环境中运行。而且由于这些命令不需要出现在可见的对话中,因此该活动可以在正常的聊天流程之外进行,并且超出了助理通常的防护措施。
Check Point 表示,已向 OpenAI 披露了该问题,OpenAI 确认已在内部发现了根本问题,并于 2026 年 2 月 20 日全面部署了修复程序。这降低了直接风险,但并没有消除更广泛的教训,也没有表明有多少不良行为者在解决此漏洞之前发现了该漏洞。
人工智能助手不再只是聊天窗口。它们正在成为工作环境,我们上传文件、运行代码、分析记录以及从敏感材料中生成高价值结论的地方。
Check Point 的研究仅使用 ChatGPT;然而,它认为研究结果并不需要单独的案例研究克劳德或双子座,而是呼吁采取更实际、更受监控的全面人工智能安全方法。
与此同时,随着这种演变的继续,安全问题也发生了变化。这不再仅仅关乎模型是否给出了有用的答案。问题在于这个答案下的隐形基础设施是否可信。
目前,人们不需要完全停止使用人工智能,但要三思而后行,重新考虑“你的私人助理”可能正在与其他人沟通。
当你将私人信息交给人工智能系统时,你会假设该系统周围的墙是坚固的。现实情况是,这些墙可能依赖于我们大多数人永远不会看到的技术层,并且在出现问题之前可能不会想到质疑。