OpenAI łata luki w ChatGPT i Codex: wyciek danych przez DNS oraz ryzyko przejęcia tokenów GitHub - Security Bez Tabu

OpenAI łata luki w ChatGPT i Codex: wyciek danych przez DNS oraz ryzyko przejęcia tokenów GitHub

Cybersecurity news

Wprowadzenie do problemu / definicja

OpenAI usunęło dwie poważne podatności bezpieczeństwa dotyczące ChatGPT oraz Codex. Pierwsza umożliwiała ukryty wyciek danych z sesji użytkownika za pośrednictwem zapytań DNS, mimo pozornie zablokowanej komunikacji wychodzącej. Druga dotyczyła podatności typu command injection w Codex, która mogła doprowadzić do przejęcia tokenów GitHub i dalszej kompromitacji środowisk developerskich.

Oba przypadki pokazują, że nowoczesne platformy AI należy analizować jak pełnoprawne środowiska wykonawcze, a nie wyłącznie interfejsy konwersacyjne. W praktyce oznacza to konieczność oceny ich pod kątem izolacji, kontroli ruchu sieciowego, zarządzania sekretami oraz powierzchni ataku związanej z integracjami.

W skrócie

  • W środowisku wykonawczym ChatGPT wykryto ukryty kanał komunikacji oparty na DNS.
  • Podatność mogła umożliwić eksfiltrację treści rozmów, danych z plików i wyników analiz.
  • W Codex wykryto lukę command injection związaną z niewłaściwą sanitacją nazwy gałęzi GitHub.
  • Atak mógł prowadzić do kradzieży tokenów GitHub i nadużycia uprawnień w repozytoriach.
  • OpenAI załatało lukę w Codex 5 lutego 2026 r., a problem w ChatGPT został w pełni usunięty 20 lutego 2026 r.

Kontekst / historia

Wraz ze wzrostem popularności narzędzi generatywnej AI użytkownicy coraz częściej powierzają modelom dane o wysokiej wrażliwości. Mogą to być dokumenty finansowe, dane klientów, fragmenty kodu źródłowego, analizy prawne czy materiały objęte tajemnicą przedsiębiorstwa. To sprawia, że każda luka w warstwie wykonawczej lub integracyjnej może mieć skutki znacznie wykraczające poza pojedynczą sesję czatu.

W przypadku ChatGPT problem wynikał z błędnego założenia, że brak standardowego dostępu do internetu oznacza pełną izolację środowiska uruchomieniowego. Z kolei w Codex ryzyko było związane z automatyzacją pracy programistycznej i szerokim dostępem agenta do repozytoriów, gałęzi, zadań oraz poświadczeń wykorzystywanych do integracji z GitHub.

Analiza techniczna

Najpoważniejszym elementem podatności w ChatGPT był ukryty kanał wyjściowy oparty na zapytaniach DNS. Środowisko analizy kodu nie pozwalało na klasyczne połączenia wychodzące, ale nadal mogło rozwiązywać nazwy domen. Taki mechanizm może zostać użyty jako nośnik danych poprzez kodowanie informacji w subdomenach i wysyłanie zapytań do domeny kontrolowanej przez atakującego.

W praktyce oznaczało to możliwość przesyłania na zewnątrz treści rozmów, fragmentów przesłanych dokumentów, a także wyników analiz tworzonych przez model. Użytkownik nie musiał otrzymać żadnego ostrzeżenia o transferze danych, ponieważ aktywność nie wyglądała jak standardowa komunikacja sieciowa. Według opisu badaczy kanał DNS mógł też zostać użyty do ograniczonej komunikacji dwukierunkowej, co potencjalnie umożliwiało zdalne sterowanie środowiskiem wykonawczym.

Druga luka dotyczyła OpenAI Codex i miała charakter command injection. Problem wynikał z niewystarczającej sanitacji nazwy gałęzi GitHub wykorzystywanej podczas przygotowania zadań wykonywanych przez agenta. Jeśli taki parametr trafia do zaplecza bez odpowiedniej walidacji, może posłużyć do wstrzyknięcia poleceń systemowych i uruchomienia złośliwego ładunku wewnątrz kontenera.

Konsekwencją mogło być pozyskanie tokenu GitHub używanego przez usługę, a następnie dostęp do zasobów ofiary. Ryzyko obejmowało nie tylko interfejs webowy, lecz także narzędzia powiązane z Codex, takie jak CLI, SDK czy rozszerzenia dla środowisk IDE. Szczególnie groźny był scenariusz współdzielonych repozytoriów i zautomatyzowanych procesów developerskich.

Konsekwencje / ryzyko

W przypadku ChatGPT głównym zagrożeniem był naruszony model poufności. Wyciekowi mogły podlegać zarówno pełne dane wejściowe, jak i informacje pochodne, na przykład streszczenia dokumentów, analizy medyczne, wyniki klasyfikacji czy wyciągnięte wnioski biznesowe. To szczególnie istotne, ponieważ dla atakującego wartość operacyjną mają często nie surowe pliki, ale ich najważniejsze konkluzje.

Dla organizacji oznacza to ryzyko ujawnienia tajemnicy przedsiębiorstwa, danych klientów, własności intelektualnej oraz materiałów objętych regulacjami. Dodatkowym wektorem może być socjotechnika, w której złośliwy prompt lub niestandardowy GPT zostaje przedstawiony jako narzędzie zwiększające produktywność.

W Codex skutki mogą być jeszcze szersze. Przejęty token GitHub może umożliwić odczyt i modyfikację kodu źródłowego, manipulację repozytoriami, ingerencję w pipeline’y CI/CD, osadzenie backdoora lub dalszy ruch boczny w łańcuchu dostaw oprogramowania. Im większe uprawnienia agenta AI, tym wyższa atrakcyjność takiego celu dla napastnika.

Rekomendacje

Organizacje korzystające z platform AI powinny traktować je jak systemy wysokiego ryzyka. Niezbędne są kontrole ruchu wychodzącego, monitoring DNS, segmentacja środowisk wykonawczych oraz inspekcja aktywności agentów wykonujących kod lub przetwarzających pliki.

  • Ograniczaj przesyłanie danych szczególnie wrażliwych do narzędzi AI.
  • Stosuj klasyfikację informacji i mechanizmy DLP przed użyciem modeli.
  • Wdrażaj redakcję danych poufnych oraz polityki dopuszczalnego użycia AI.
  • Minimalizuj uprawnienia tokenów i korzystaj z poświadczeń krótkotrwałych.
  • Waliduj wszystkie dane wejściowe pochodzące z systemów zewnętrznych, w tym nazwy gałęzi, metadane i komentarze.
  • Monitoruj nietypowe operacje w repozytoriach oraz aktywność agentów AI.
  • Uwzględnij prompty, niestandardowe GPT i agentów kodujących w modelowaniu zagrożeń.

Ważnym elementem jest także edukacja użytkowników. Gotowe prompty z internetu, publiczne integracje oraz dodatki do przeglądarek mogą stanowić nośnik ataku. Z perspektywy bezpieczeństwa AI konieczne stają się regularne testy, audyty logów i niezależna warstwa nadzoru nad działaniem usług zewnętrznych.

Podsumowanie

Załatane przez OpenAI podatności w ChatGPT i Codex pokazują, że bezpieczeństwo systemów AI nie kończy się na filtrach promptów i blokadzie bezpośrednich połączeń sieciowych. Ukryte kanały komunikacji, niewystarczająca izolacja środowiska oraz błędy sanitacji danych wejściowych mogą prowadzić zarówno do wycieku informacji, jak i przejęcia cennych poświadczeń.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że platformy AI należy oceniać jednocześnie z perspektywy bezpieczeństwa aplikacji, chmury oraz software supply chain. Wraz ze wzrostem autonomii agentów i zakresu ich integracji rośnie potrzeba wielowarstwowych zabezpieczeń, ścisłej kontroli uprawnień i bieżącego monitoringu.

Źródła