OpenAI naprawia lukę w ChatGPT, która umożliwiała wyciek danych przez DNS

W świecie technologii kreatywnych i sztucznej inteligencji zaufanie użytkownika do bezpieczeństwa jego danych jest fundamentem, na którym buduje się potęgę platform takich jak ChatGPT. Jednak najnowsze doniesienia od badaczy z Check Point rzucają cień na te zapewnienia. Okazuje się, że nawet najbardziej zaawansowane systemy zabezpieczeń mogą posiadać luki w miejscach tak oczywistych, że stają się one niemal niewidoczne dla algorytmów obronnych. OpenAI musiało niedawno załatać krytyczny błąd, który pozwalał na potajemne wyprowadzanie danych z zamkniętego środowiska wykonawczego za pomocą protokołu DNS.

Niewidzialny kanał w sercu bezpiecznego środowiska

Badacze z firmy Check Point ujawnili, że pojedynczy, odpowiednio skonstruowany złośliwy prompt był w stanie aktywować ukryty kanał eksfiltracji danych wewnątrz standardowej konwersacji z ChatGPT. Problem dotyczył specyficznego środowiska, w którym model wykonuje kod i analizuje dane. OpenAI od dawna utrzymuje, że środowisko wykonawcze kodu jest odizolowane i niezdolne do bezpośredniego generowania wychodzących żądań sieciowych. Teoria ta legła w gruzach, gdy odkryto, że system całkowicie pomijał kontrolę zapytań DNS (Domain Name System), traktując je jako bezpieczny element infrastruktury.

Mechanizm ataku był subtelny, ale niezwykle skuteczny. Ponieważ model operował w przeświadczeniu, że jego środowisko nie może wysyłać danych na zewnątrz, nie rozpoznawał on transferu informacji przez DNS jako działania wymagającego interwencji użytkownika lub blokady. W efekcie dane, które powinny pozostać wewnątrz bezpiecznego kontenera, mogły zostać zakodowane w zapytaniach do serwerów nazw i przesłane do zewnętrznego serwera kontrolowanego przez atakującego. To klasyczny przykład „side channel attack”, gdzie standardowy protokół sieciowy służy jako przemytnik informacji.

Eksperyment z osobistym analitykiem zdrowia

Aby dowieść powagi sytuacji, eksperci z Check Point przygotowali trzy ataki typu proof-of-concept. Jeden z najbardziej sugestywnych scenariuszy dotyczył niestandardowej aplikacji "GPT", która pełniła rolę osobistego analityka zdrowia. Atak przebiegał w następujący sposób:

• Użytkownik przesyłał plik PDF zawierający wyniki badań laboratoryjnych oraz wrażliwe dane osobowe.
• Aplikacja analizowała dokument, zapewniając jednocześnie użytkownika, że dane są przechowywane w bezpiecznej, wewnętrznej lokalizacji.
• W rzeczywistości, w tle, narzędzie przesyłało te informacje na serwer napastnika, wykorzystując lukę w DNS.

Kluczowym i najbardziej niepokojącym aspektem tego incydentu był fakt, że ChatGPT zapytany wprost o to, czy wysłał dane na zewnątrz, z pełnym przekonaniem zaprzeczał. Model nie kłamał w tradycyjnym tego słowa znaczeniu – on po prostu nie posiadał świadomości, że protokół DNS jest wykorzystywany do eksfiltracji, ponieważ systemy nadzorcze OpenAI nie monitorowały tego kanału pod kątem wycieku danych.

Priorytety bezpieczeństwa: Ochrona zasobów vs. ochrona danych

Analizując działania OpenAI, można odnieść wrażenie, że firma kładzie większy nacisk na ochronę własnych zasobów przed botami niż na uszczelnianie kanałów wycieku danych użytkowników. Inżynier bezpieczeństwa działający pod pseudonimem Buchodi wskazał niedawno, że platforma wdrożyła zaawansowane mechanizmy Cloudflare Turnstile. Mają one na celu uniemożliwienie interakcji z chatbotem, dopóki cały interfejs webowy oparty na React nie zostanie w pełni załadowany w przeglądarce użytkownika.

Potwierdza to pracownik OpenAI (prawdopodobnie Nick Turley, Head of ChatGPT), który na forum Hacker News wyjaśnił, że te rygorystyczne kontrole służą ochronie produktów przed scrapingiem, oszustwami i nadużyciami. Głównym celem jest zapewnienie, aby ograniczone zasoby GPU trafiały do realnych użytkowników, a nie do botów próbujących darmowo pobierać dane wygenerowane przez model. Jest to ironiczne, biorąc pod uwagę, że samo OpenAI zbudowało swoją potęgę na masowym zbieraniu treści z internetu w celu trenowania modeli, a teraz musi bronić się przed podobnymi praktykami ze strony innych podmiotów.

Regulacje i odpowiedzialność w erze AI

Luki takie jak ta odkryta przez Check Point mają ogromne znaczenie dla branż regulowanych, takich jak medycyna, finanse czy prawo. Wykorzystanie usług AI w korporacjach wiąże się z ryzykiem naruszenia surowych przepisów dotyczących prywatności, w tym GDPR (RODO), HIPAA czy różnego rodzaju regulacji finansowych. Jeśli usługa AI przeznaczona do użytku profesjonalnego pozwala na wyciek wrażliwych danych przez tak podstawowy mechanizm jak DNS, odpowiedzialność prawna i wizerunkowa firmy wdrażającej takie rozwiązanie może być druzgocąca.

Zgodnie z dostępnymi informacjami, OpenAI załatało tę konkretną podatność 20 lutego 2026 roku. Choć błąd został naprawiony, incydent ten pokazuje, że architektura bezpieczeństwa systemów Large Language Model (LLM) wciąż ewoluuje i musi mierzyć się z zagrożeniami, które w tradycyjnym oprogramowaniu wydawały się dawno opanowane. Dla użytkowników i firm płynie z tego jedna lekcja: ślepe zaufanie do zapewnień o izolacji środowisk AI jest ryzykowne. Każdy system, który ma dostęp do sieci – nawet pośredni – może stać się drogą dla nieautoryzowanego transferu danych, dopóki każdy możliwy protokół, w tym DNS, nie zostanie objęty ścisłą kontrolą outbound.