Przerażające odkrycie w ChatGPT. Twoje rozmowy mogą wyciekać

Badacze z firmy Tenable odkryli siedem poważnych luk bezpieczeństwa w ChatGPT-4o, które mogą pozwolić cyberprzestępcom na ukrywanie złośliwych komend, kradzież danych i rozpowszechnianie dezinformacji. Zestaw podatności otrzymał nazwę "HackedGPT" i stanowi kompletny łańcuch ataku na popularny chatbot.

Wykryte problemy obejmują między innymi pośrednią iniekcję promptów przez zaufane strony, gdzie atakujący mogą ukrywać komendy w publicznych witrynach, które ChatGPT nieświadomie wykonuje podczas czytania treści. Szczególnie niebezpieczny jest atak typu "0-click", w którym model samodzielnie wyszukuje w internecie stronę ze złośliwym kodem i wykonuje ukryte instrukcje bez wiedzy użytkownika.

Kolejne luki to phishingowa odmiana ataku poprzez kliknięcie w link z ukrytymi komendami GPT, omijanie mechanizmów bezpieczeństwa przez opakowywanie złośliwych linków w zaufane adresy, a także "conversation injection" - wykorzystanie SearchGPT do wprowadzania ukrytych instrukcji, które ChatGPT później odczytuje, skutecznie atakując sam siebie.

ChatGPT czyta złośliwy kod z internetu i wykonuje ukryte polecenia

Badacze odkryli również, że złośliwe instrukcje można ukrywać w kodzie lub tekście (języku znaczników) markdown, a także zapisywać je w pamięci konwersacji, co prowadzi do ciągłego wycieku danych przy każdym uruchomieniu zapisanego czatu.

Szczególnie niebezpieczny jest atak typu "0-click", w którym model samodzielnie wyszukuje w internecie stronę ze złośliwym kodem i wykonuje ukryte instrukcje bez wiedzy użytkownika.

OpenAI zareagowało na raport i naprawiło część wykrytych luk w modelu GPT-5, jednak nie wszystkie zostały załatane, co wciąż naraża miliony użytkowników na potencjalne zagrożenia. Problem dotyczy również innych chatbotów - Gemini od Google jest podatny na podobne ataki poprzez integrację z Gmailem, gdzie atakujący mogą wysyłać emaile z ukrytymi promptami (np. białym tekstem na białym tle).

HackedGPT ujawnia fundamentalną słabość w sposobie, w jaki duże modele językowe oceniają, którym informacjom można zaufać. Dlatego wciąż powinniśmy kontrolować co wyprawia te kilka uruchomionych przez nas skryptów.